Vírusy.sk - Informačný web server (www.virusy.sk)

Novinky - PC Vírusy - AV Systémy - Virus Bulletin - Download

_Novinky__
Editoriál
Novinky

_PC Vírusy__
Popisy vírusov
Vírusový radar
Poplašné správy
Napadnutý vírusom?
Diskusia o vírusoch

_AV Systémy__
AV programy
AV spoločnosti
AV testy
Trial verzie AV
Online verzie AV
Jednoúčelové AV
Diskusia o AV

_Virus Bulletin__
Virus Bulletin
Virus Bulletin
2004-2005

_O Vírusoch__
eKonferencie
Encyklopédie
Publikácie

_Redakcia__
Kontakt
Spolupráca

_Partneri__
LTC.sk

_Spriatelené sajty__
AVIR.sk
DrWeb32.sk
AEC.sk
Grisoft.cz
BitDefender.com
Info Consult.sk

 

 
 
12.05.2004 - Martin LEPIŠ - Popisy vírusov
Win32/Sasser.E & .F

Ako sme Vás už informovali, v piatok minulý týždeň sa podarilo nemeckej polícii v spolupráci s tajnou službou i spoločnosťou Microsoft vypátrať a zadržať 18-ročného študenta techniky - Svena Jaschana, ktorý sa neskôr vyšetrovateľom priznal k vytvoreniu internetového červa Win32/Sasser. V tom čase si veľká časť používateľov myslela, že bude mať od masovo sa šíriaceho škodlivého kódu pokoj, no nestalo sa tak. Postupne totiž vznikajú nové varianty červa Win32/Sasser, ktoré sa i napriek všadeprítomným upozorneniam šíria dostatočne intenzívne. Viacerí AV-odborníci sa navyše domnievajú, že zdrojové kódy červa Win32/Sasser sú ešte stále k dispozícii na Internete, čo umožňuje ich ďalšiu modifikáciu a tvorbu nových variantov tohto červa.
Mimochodom, viaceré médiá v uplynulých dňoch priniesli informácie o tom, že snahou Svena Jaschana pri tvorbe červa Win32/Sasser bolo podporiť rozvoj rodinnej firmy nazvanej PC Help. Značný otáznik visí v tomto okamihu aj nad tým, aký trest môže dostať tento mladý muž za svoje neuvážené konanie, ktorého výsledkom je viac ako 18 miliónov infikovaných systémov po celom svete a tiež finančné straty vo výške pár miliónov dolárov spôsobené výpadkami viacerých významných informačných systémov, nakoľko Sven v čase kedy vytvoril červ Win32/Sasser ešte nemal dovŕšených 18 rokov (t.j. hranicu plnoletosti).

Pozrime sa aspoň v skratke na to, akými modifikáciami prešli ďalšie dva – nové varianty červa Win32/Sasser, ku ktorým možno v nasledujúcich dňoch pribudnú ešte nejaké tie ďalšie viac alebo menej modifikované exempláre. :-(

Win32/Sasser.E
... predstavuje v poradí už piaty variant červa Win32/Sasser vytvorený v programovacom jazyku MS Visual C++, ktorého výsledný kód bol navyše interne komprimovaný za použitia nástroja PECompact. Tento škodlivý kód priamo ohrozuje len počítačové systémy s OS MS Windows 2000/XP/2003, ktoré nie sú vybavené osobným firewallom blokujúcim nežiadúcu sieťovú komunikáciu alebo pre systémy, ktoré ešte stále nemajú nainštalovanú bezpečnostnú záplatu popísanú v rámci Microsoft Security Bulletin MS04-011 (835732). Červ sa medzi jednotlivými počítačmi šíri priamo prostredníctvom počítačovej siete – využívajúc pritom bezpečnostnú chybu objavenú na úrovni Local Security Authority Subsystem Service (LSASS). Táto chyba umožňuje vzdialenému útočníkovi pomocou špeciálne upraveného sieťového packetu zaslaného na nezabezpečený počítač vyvolať stav označovaný ako Buffer OverFlow (t.j. pretečenie zásobníka). Týmto krokom dokáže vzdialený útočník preniesť a následne aj aktivovať na vzdialenom systéme ľubovoľný kód – napríklad škodlivý kód alebo skript, ktorý do vzdialeného počítača prenesie predurčené dáta.

Po aktivácii sa červ pokúsi vytvoriť v rámci hlavného adresára OS MS Windows kópiu svojho tela, ktorú uloží do súboru nazvaného LSASSS.EXE (... s veľkosťou 15 872 bajtov). Tu treba spomenúť, že za bežných okolností sa v systémovom adresári OS MS Windows nachádza súbor LSASS.EXE, ktorý je súčasťou jadra systému. Následne červ doplní do systémových registrov hodnotu, ktorá mu umožní automatickú aktiváciu novovytvoreného súboru, pri každom ďalšom štarte systému.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
... lsasss.exe = [cesta k hlavnému adresáru OS]\lsasss.exe


Po vykonaní týchto operácií sa červ pokúša odstrániť zo systémových registrov niekoľko hodnôt, ktoré do nich vkladajú niektoré konkurenčné škodlivé kódy, ako sú: Win32/Bagle.W, Win32/Bagle.X a Trojan.Mitglieder. V tomto prípade treba spomenúť, že práve snaha červa Win32/Sasser.E eliminovať zo systému červ Win32/Bagle viedla niektorých AV-odborníkov k tomu, aby začali hľadať prípadné prepojenie medzi autorom červa Sasser a tvorcami červa Netsky. Zatiaľ sa však žiadne konkrétne informácie v tejto súvislosti nepotvrdili.

Pri snahe červa Win32/Sasser.E preniknúť do vzdialeného nechráneného systému môže byť sprievodným javom zobrazenie dialógového okna, ktoré informuje používateľa o vzniku chyby na úrovni systémovej služby LSASS / LSA Shell, čoho následkom môže dochádzať k automatickému reštartu počítača (... pozri obrázok – v prípade OS MS Windows 2000 / pozri obrázok – v prípade OS MS Windows XP). Navyše môže z času na čas dochádzať aj k zobrazovaniu dialógového okna obsahujúceho nasledujúce informácie (... pozri obrázok):

1. Your computer is affected by the MS04-011 vulnerability
2. It can be that dangerous computer viruses similar the Blaster worm infect your computer
3. Please update your computer with the MS04-011 LSASS patch from the www.microsoft.com website
4. This is an message from the SkyNet Team for malicious activity prevention


Vzhľadom na to, že červ Win32/Sasser nevykonáva pri svojej činnosti žiadne deštruktívne operácie je jeho jedinou úlohou preniknúť do systému a následne sa šíriť na čo najväčší počet ďalších – nechránených počítačov. Za týmto účelom červ aktivuje v infikovanom systéme malý FTP server, ktorý je dostupný na TCP porte 1023 a začne automaticky generovať náhodné IP adresy počítačov dostupných v počítačovej sieti (... niektoré IP adresy červ počas svojej činnosti priamo ignoruje – jedná sa o 127.0.0.1, 192.168.xxx.xxx a iné), s ktorými sa pokúša skontaktovať cez TCP port 445. Ak sa mu podarí nadviazať spojenie s počítačom, ktorý obsahuje vyššie uvedenú bezpečnostnú chybu využije jej prítomnosť na to, aby na vzdialenom systéme vytvoril nový súbor nazvaný CMD.FTP, ktorý uloží do systémového adresára OS MS Windows. Zároveň aktivuje program FTP.EXE, ktorému ako parameter pošle obsah súboru CMD.FTP. Ten sa automaticky postará o nadviazanie spojenia s FTP serverom (... bežiacom na porte 1023), ktorý červ vytvoril a aktivoval už na infikovanom počítači a stiahne prostredníctvom neho do vzdialeného počítača výkonný kód červa. Získaný spustiteľný kód je uložený do systémového adresára OS MS Windows, do súboru generovaného podľa šablóny: [náhodné číslo]_upload.exe (napríklad: 74354_UPLOAD.EXE). Nakoniec tento súbor červ aktivuje, čím sa začne celý proces opakovať od začiatku.

Apropo, pri náhodnom generovaní IP adries vzdialených počítačov dochádza v infikovanom počítači k spusteniu 128 súčasne bežiacich vlákien, čo sa pri slabších počítačoch môže prejaviť rapídnym nárastom zaťaženia procesora a tým aj poklesom výkonu systému. Zoznam IP adries, s ktorými sa tomuto škodlivému kódu podarí skontaktovať priebežne ukladá do súboru C:\FTPLOG.TXT (... jeho veľkosť preto postupne rastie).

Win32/Sasser.F
... posledný doposiaľ identifikovaný variant červa Win32/Sasser predstavuje len čiastočnú modifikáciu svojich predchodcov. Medzi najpodstatnejšie odlišnosti patrí to, že po aktivácii sa červ pokúsi vytvoriť v rámci hlavného adresára OS MS Windows kópiu svojho tela, ktorú uloží do súboru nazvaného NAPATCH.EXE (... s veľkosťou 74 752 bajtov). Následne doplní do systémových registrov novú hodnotu, ktorá mu slúži pre automatickú aktiváciu novovytvoreného súboru, pri každom ďalšom štarte systému.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
... napatch.exe = [cesta k hlavnému adresáru OS]\napatch.exe


Všetky ostatné činnosti tohto červa sú identické s tými, ktoré boli detailne popísané pri jeho predchádzajúcom variante – nazvanom Win32/Sasser.A.

Všetkým používateľom odporúčame, aby čo najskôr vykonali aktualizáciu nimi používaného AV-systému, navštívili web stránky aktualizačného servera Microsoft Windows Update a nainštalovali si do svojich systémov všetky dostupné (... minimálne však aspoň kritické) bezpečnostné záplaty. Pre tých "šťastlivcov – nešťastníkov", ktorým sa už podarilo aktivovať vo svojom systéme niektorý z vyššie uvedených červov alebo ich predchádzajúcich variantov ponúkame jednoúčelové AV-programy určené pre ich rýchlu elimináciu – dostupné sú v sekcii nazvanej Jednoúčelové AV-programy.


P.S.: Jedným z ďalších škodlivých kódov, ktorý pri svojom šírení využíva bezpečnostnú dieru na úrovni Local Security Authority Subsystem Service (LSASS) je aj internetový červ Win32/Cycle.A – bližšie informácie sú dostupné priamo tu. V prípade, ak by v najbližších dňoch došlo k jeho výraznejšiemu rozšíreniu prinesieme jeho popis aj v slovenskom jazyku.



Súvisiace články:
25.06.2004  Win32/Korgo.Gen - Popisy vírusov
19.05.2004  Win32/Bobax.A - .C & Win32/Kibuv.A - .B - Popisy vírusov
01.05.2004  Win32/Sasser.A - .D - Popisy vírusov


Systémové hlásenie:
Pri generovaní stránky sa vyskytla nasledujúca chyba - nepodarilo sa nájsť požadovaný zdroj dát!

Na odstránení vzniknutého stavu sa intenzívne pracuje, skúste navštíviť naše web stránky o niečo neskôr.