Vírusy.sk - Informačný web server (www.virusy.sk)

Novinky - PC Vírusy - AV Systémy - Virus Bulletin - Download

_Novinky__
Editoriál
Novinky

_PC Vírusy__
Popisy vírusov
Vírusový radar
Poplašné správy
Napadnutý vírusom?
Diskusia o vírusoch

_AV Systémy__
AV programy
AV spoločnosti
AV testy
Trial verzie AV
Online verzie AV
Jednoúčelové AV
Diskusia o AV

_Virus Bulletin__
Virus Bulletin
Virus Bulletin
2004-2005

_O Vírusoch__
eKonferencie
Encyklopédie
Publikácie

_Redakcia__
Kontakt
Spolupráca

_Partneri__
LTC.sk

_Spriatelené sajty__
AVIR.sk
DrWeb32.sk
AEC.sk
Grisoft.cz
BitDefender.com
Info Consult.sk

 

 
 
01.05.2004 - Martin LEPIŠ - Popisy vírusov
Win32/Sasser.A - .D  (aktualizované dňa 5.5.2004)

Keď sa spomenú kdekoľvek na Internete slová Microsoft a bezpečnostná chyba je používateľom počítačových systémov s OS MS Windows jasné, že to neveští nič dobré. Žiaľ, rovnako je tomu aj tentoraz! Počas dnešného dňa sa podarilo AV-spoločnostiam identifikovať v rámci siete Internet nový internetový červ Win32/Sasser.A, ktorý sa šíri výlučne medzi nezabezpečenými systémami s OS MS Windows 2000/XP/2003 využívajúc jednu z posledne objavených bezpečnostných chýb na úrovni systémovej služby Local Security Authority Subsystem Service (LSASS). Táto bezpečnostná chyba bola objavená v prvej polovici apríla 2004, pričom do dnešných dní sa stala "zaujímavou" nielen pre tento internetový červ.

O čo vlastne ide? Bezpečnostná chyba na úrovni Local Security Authority Subsystem Service (LSASS) umožňuje vzdialenému útočníkovi prostredníctvom špeciálne upraveného sieťového packetu zaslaného na nezabezpečený počítač s OS MS Windows 2000/XP/2003 vyvolať stav označovaný ako Buffer OverFlow (t.j. pretečenie zásobníka). Týmto krokom dokáže vzdialený útočník preniesť a následne aj aktivovať na vzdialenom systéme ľubovoľný kód – napríklad škodlivý kód alebo skript, ktorý do vzdialeného počítača prenesie zadané dáta. Viac informácií o tejto bezpečnostnej chybe je možné nájsť na web stránkach spoločnosti Microsoft alebo v rámci Vulnerability Information Center, prevádzkovaného spoločnosťou Computer Associates.

Win32/Sasser.A
... tento počítačový červ bol vytvorený v programovacom jazyku MS Visual C++, pričom jeho výsledný kód bol interne komprimovaný za použitia nástroja PECompact. Ako sme už spomenuli vyššie tento škodlivý kód predstavuje riziko len pre počítačové systémy s OS MS Windows 2000/XP/2003, ktoré nedisponujú osobným firewallom blokujúcim nežiadúcu sieťovú komunikáciu alebo pre systémy, ktoré ešte stále nemajú nainštalovanú bezpečnostnú záplatu popísanú v rámci Microsoft Security Bulletin MS04-011 (835732). Červ sa medzi jednotlivými počítačmi šíri priamo prostredníctvom počítačovej siete, čo znamená, že nepotrebuje pre svoju aktiváciu "pomoc" zo strany používateľa.
Po aktivácii sa červ pokúsi vytvoriť v rámci hlavného adresára OS MS Windows kópiu svojho tela, ktorú uloží do súboru nazvaného AVSERVE.EXE (... s veľkosťou 15 872 bajtov). Následne doplní do systémových registrov novú hodnotu, ktorá mu slúži pre automatickú aktiváciu novovytvoreného súboru, pri každom ďalšom štarte systému.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
... avserve.exe = [cesta k hlavnému adresáru OS]\avserve.exe


Pri snahe tohto červa preniknúť do vzdialeného nechráneného systému môže byť sprievodným javom zobrazenie dialógového okna, ktoré informuje používateľa o vzniku chyby na úrovni systémovej služby LSASS / LSA Shell, čoho následkom môže dochádzať k automatickému reštartu počítača (... pozri obrázok – v prípade OS MS Windows 2000 / pozri obrázok – v prípade OS MS Windows XP).

Vzhľadom na to, že červ Win32/Sasser nevykonáva pri svojej činnosti žiadne deštruktívne operácie je jeho jedinou úlohou preniknúť do systému a následne sa šíriť na čo najväčší počet ďalších – nechránených počítačov. Za týmto účelom červ aktivuje v infikovanom systéme malý FTP server, ktorý je dostupný na TCP porte 5554 a začne automaticky generovať náhodné IP adresy počítačov dostupných v počítačovej sieti, s ktorými sa pokúša skontaktovať cez TCP port 445. Ak sa mu podarí nadviazať spojenie s počítačom, ktorý obsahuje vyššie uvedenú bezpečnostnú chybu využije jej prítomnosť na to, aby na vzdialenom systéme vytvoril nový súbor nazvaný CMD.FTP, ktorý uloží do systémového adresára OS MS Windows. Zároveň aktivuje program FTP.EXE, ktorému ako parameter pošle obsah súboru CMD.FTP. Ten sa automaticky postará o nadviazanie spojenia s FTP serverom (... bežiacom na porte 5554), ktorý červ vytvoril a aktivoval už na infikovanom počítači a stiahne prostredníctvom neho do vzdialeného počítača výkonný kód červa. Získaný spustiteľný kód je uložený do systémového adresára OS MS Windows, do súboru generovaného podľa šablóny: [náhodné číslo]_up.exe (napríklad: 10831_UP.EXE). Nakoniec tento súbor červ aktivuje, čím sa vlastne začne celý proces opakovať od začiatku.
Na margo aktivít červa Win32/Sasser ešte spomeňme, že pri náhodnom generovaní IP adries vzdialených počítačov dochádza v infikovanom počítači k spusteniu 128 súčasne bežiacich vlákien, čo sa pri slabších počítačoch môže okamžite prejaviť rapídnym nárastom zaťaženia procesora. Mimochodom zoznam IP adries, s ktorými sa tomuto škodlivému kódu podarí skontaktovať priebežne ukladá do súboru C:\WIN.LOG (... jeho veľkosť preto postupne rastie).

Win32/Sasser.B & .C (... doplnené dňa 3.5.2004)
... niekoľko hodín po tom, čo sa počítačovou sieťou Internet začal šíriť internetový červ Win32/Sasser.A boli objavené jeho dva ďalšie – mierne modifikované varianty. Medzi ich najpodstatnejšie odlišnosti patrí to, že po aktivácii sa červ pokúsi vytvoriť v rámci hlavného adresára OS MS Windows kópiu svojho tela, ktorú uloží do súboru nazvaného AVSERVE2.EXE (... s veľkosťou 15 872 bajtov). Následne doplní do systémových registrov novú hodnotu, ktorá mu slúži pre automatickú aktiváciu novovytvoreného súboru, pri každom ďalšom štarte systému.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
... avserve2.exe = [cesta k hlavnému adresáru OS]\avserve2.exe


Okrem týchto zmien je možné v prípade aktivity červa spozorovať ešte jednu drobnú úpravu – a tou je zmena názvu súboru C:\WIN.LOG na C:\WIN2.LOG, v rámci ktorého sa nachádza evidencia všetkých IP adries, s ktorými sa tomuto škodlivému kódu podarí skontaktovať. Všetky ostatné činnosti červov Win32/Sasser.B & .C sú viacmenej identické s tými, ktoré boli detailne popísané pri jeho predchádzajúcom variante – nazvanom Win32/Sasser.A.

Win32/Sasser.D (... doplnené dňa 5.5.2004)
... dodatočne bol v rámci počítačovej siete Internet identifikovaný aj štvrtý, upravený variant internetového červa Win32/Sasser. Jeho najpodstatnejšou odlišnosťou je opäť zmena názvu súboru, ktorý sa červ v prípade aktivácie snaží vytvoriť v hlavnom adresári OS MS Windows – jedná sa konkrétne o súbor nazvaný SKYNETAVE.EXE (... s veľkosťou 16 384 bajtov). S týmto súvisí aj zmena novej hodnoty, ktorú červ ukladá do systémových registrov za účelom automatickej aktivácie novovytvoreného súboru, pri každom ďalšom štarte systému.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
... skynetave.exe = [cesta k hlavnému adresáru OS]\skynetave.exe


Okrem týchto zmien je možné v prípade aktivity červa spozorovať ešte jednu drobnú úpravu – a tou je zmena názvu súboru C:\WIN.LOG na C:\WIN2.LOG, v rámci ktorého sa nachádza evidencia všetkých IP adries, s ktorými sa tomuto škodlivému kódu podarí skontaktovať. Všetky ostatné činnosti červa Win32/Sasser.D sú identické s tými, ktoré boli detailne popísané pri jeho predchádzajúcich variantoch.

V priebehu uplynulých dní bolo možné zaznamenať výrazné rozšírenie internetových červov Win32/Sasser.A - .D. Všetkým používateľom preto odporúčame, aby čo najskôr vykonali aktualizáciu nimi používaného AV-systému, navštívili web stránky aktualizačného servera Microsoft Windows Update a nainštalovali si do svojich systémov všetky dostupné (... minimálne však aspoň kritické) bezpečnostné záplaty. Pre tých "šťastlivcov – nešťastníkov", ktorým sa už podarilo aktivovať vo svojom systéme niektorý z vyššie uvedených červov ponúkame jednoúčelové AV-programy určené pre ich rýchlu elimináciu – dostupné sú v sekcii nazvanej Jednoúčelové AV-programy.


P.S.: Na záver si dovoľujeme upozorniť používateľov, že bezpečnostnú chybu objavenú v rámci systémovej služby Local Security Authority Subsystem Service (LSASS) sa pri svojom šírení snažia využívať aj nové varianty niektorých ďalších škodlivých kódov – ako sú napríklad červy: Win32/Gaobot.AFC, Win32/Gaobot.AFJ a Win32/Gaobot.AFW.



Súvisiace články:
25.06.2004  Win32/Korgo.Gen - Popisy vírusov
19.05.2004  Win32/Bobax.A - .C & Win32/Kibuv.A - .B - Popisy vírusov
12.05.2004  Win32/Sasser.E & .F - Popisy vírusov


Systémové hlásenie:
Pri generovaní stránky sa vyskytla nasledujúca chyba - nepodarilo sa nájsť požadovaný zdroj dát!

Na odstránení vzniknutého stavu sa intenzívne pracuje, skúste navštíviť naše web stránky o niečo neskôr.