Vírusy.sk - Informačný web server (www.virusy.sk)

Novinky - PC Vírusy - AV Systémy - Virus Bulletin - Download

_Novinky__
Editoriál
Novinky

_PC Vírusy__
Popisy vírusov
Vírusový radar
Poplašné správy
Napadnutý vírusom?
Diskusia o vírusoch

_AV Systémy__
AV programy
AV spoločnosti
AV testy
Trial verzie AV
Online verzie AV
Jednoúčelové AV
Diskusia o AV

_Virus Bulletin__
Virus Bulletin
Virus Bulletin
2004-2005

_O Vírusoch__
eKonferencie
Encyklopédie
Publikácie

_Redakcia__
Kontakt
Spolupráca

_Partneri__
LTC.sk

_Spriatelené sajty__
AVIR.sk
DrWeb32.sk
AEC.sk
Grisoft.cz
BitDefender.com
Info Consult.sk

 

 
 
19.05.2004 - Martin LEPIŠ - Popisy vírusov
Win32/Bobax.A - .C & Win32/Kibuv.A - .B

Počas prvých štyroch mesiacov v tomto roku zaznamenali najväčší podiel medzi masovo sa šíriacimi škodlivými kódmi najmä emailové červy, ako sú: Win32/Mydoom, Win32/Bagle alebo Win32/Netsky. Od začiatku mája sa však situácia diametrálne zmenila. Emailové červy vo výraznej miere nahradili červy internetové, ktoré dokážu síce infikovať iba počítačové systémy s OS MS Windows NT/2000/XP/2003 bez nainštalovaných bezpečnostných záplat, no i napriek tomu sa šíria sieťou Internet veľmi intenzívne a plne automaticky – bez priameho zásahu zo strany používateľa. Najnovšími prírastkami do rodiny internetových červov sa v týchto dňoch stali: Win32/Bobax.A - .C a tiež Win32/Kibuv.A - .B. Odhadnúť aktuálnu intenzitu šírenia sa týchto škodlivých kódov je relatívne zložité, i keď vzhľadom na viaceré hlásenia o vzrastajúcej sieťovej aktivite na vybraných sieťových portoch (... ktoré pri svojej činnosti využívajú tieto červy) je možné sledovať postupné zvyšovanie ich aktivity. Navyše rovnako ako jednotlivé varianty červa Win32/Sasser aj tieto škodlivé kódy môžu pri snahe preniknúť do nezabezpečeného systému vyvolať pád systémovej služby Local Security Authority Subsystem Service (LSASS) a tým vyvolať vynútený reštart systému (... sprevádzaný zobrazením týchto chybových hlásení – pozri obrázok č.1 / č.2).

Win32/Bobax.A (... alias TrojanProxy.Win32.Bobax.A)
... jedná sa internetový červ šíriaci sa priamo prostredníctvom počítačovej siete Internet medzi počítačovými systémami s OS MS Windows 2000/XP, ktoré nemajú nainštalovanú bezpečnostnú záplatu odstraňujúcu chybu v systémovej službe LSASS. Nezabezpečené systémy červ vyhľadáva náhodne – počas svojej aktivity generuje IP adresy počítačov, s ktorými sa pokúša priebežne kontaktovať.

V prípade aktivácie výkonného kódu červa Win32/Bobax v rámci nezabezpečeného systému dochádza k vzniku nového súboru s názvom v tvare [náhodný počet znakov].EXE (... s veľkosťou 20 480 bajtov), ktorý červ uloží do systémového adresára OS (t.j. ?:\Windows\System pri OS MS Windows 9x-Me, ?:\Windows\System32 pri OS MS Windows XP, ?:\WINNT\System32 pri OS MS Windows NT/200x). Zároveň dôjde k doplneniu novej hodnoty do systémových registrov, ktorá ma zabezpečiť pravidelnú aktiváciu novovytvoreného súboru pri každom ďalšom štarte systému.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
... [náhodný reťazec znakov] = [cesta k systémovému adresáru OS]\[náhodný reťazec znakov].exe


Ďalej červ vyexportuje do tzv. dočasného adresára nazvaného TEMP súbor s náhodne vygenerovaným názvom v tvare ~[náhodný reťazec znakov].TMP (... s veľkosťou 17 920 bajtov). Tento súbor v skutočnosti predstavuje DLL (Dynamic Link Library) knižnicu, ktorá v sebe integruje hlavné funkcie červa Win32/Bobax. Snahou červa je pripojiť túto DLL knižnicu do aplikácie EXPLORER.EXE, ktorá môže v dôsledku tejto operácie "spadnúť". Pri ďalších štartoch OS MS Windows sa kód obsiahnutý v danej DLL knižnici bude automaticky spúšťať ako skrytá súčasť aplikácie EXPLORER.EXE.

Hlavnou úlohou červa Win32/Bobex je šíriť sa na ďalšie systémy. Za týmto účelom v infikovanom systéme aktivuje malý HTTP server, ktorý očakáva na sieťových portoch v rozsahu 2000 až 62 000 požiadavku od vzdialených systémov na zaslanie výkonného kódu červa. Následne červ začne generovať náhodné IP adresy vzdialených počítačov, s ktorými sa snaží spojiť na úrovni sieťového portu 445. V prípade úspešného spojenia červ odošle na vzdialený systém špeciálne upravený sieťový paket, ktorý vďaka chybe v systémovej službe LSASS aktivuje v sebe obsiahnutý kód. Tento kód spätné kontaktuje malý HTTP server bežiaci na už infikovanom systéme so žiadosťou o zaslanie výkonného kódu červa (... vo forme súboru SVC.EXE), ktorý sa po prijatí požiadavky automaticky prenesie aj na vzdialený systém a aktivuje. Tým sa celý proces šírenia tohto červa začína opakovať od začiatku.

Poslednou činnosťou, ktorú tento červ vykonáva v infikovanom systéme je aktivácia malého SMTP (Simple Mail Transfer Protocol) servera, ktorý na náhodne vybraných sieťových portoch očakáva prichádzajúce spojenia a môže byť vzdialenými útočníkmi využitý ako prostriedok pre masové rozposielanie nevyžiadaných emailových správ, tzv. (!) spamu (!).

Win32/Bobax.B & .C (... alias TrojanProxy.Win32.Bobax.B & .C)
... v relatívne krátkom čase po identifikácii červa Win32/Bobax.A boli v sieti Internet objavené ešte jeho dva ďalšie – mierne modifikované varianty. Tie sa od predchádzajúceho variantu líšia veľkosťou súboru, ktorý obsahuje výkonný kód červa a tiež postupom pri vyhľadávaní nových potenciálnych cieľov. Červ v tomto prípade najprv sa pokúša spojiť so vzdialeným systémom na úrovni sieťového portu 5000 čím si overí, či ide o počítač s OS MS Windows XP. Pokiaľ dané spojenie prebehne úspešne zašle na vzdialený systém špeciálne upravený sieťový paket, ktorý vďaka chybe v systémovej službe LSASS aktivuje v sebe obsiahnutý kód. Tento kód spätné kontaktuje malý HTTP server bežiaci na už infikovanom systéme so žiadosťou o zaslanie výkonného kódu červa, ktorý sa po prijatí požiadavky automaticky prenesie na vzdialený systém a aktivuje. Tým sa celý proces šírenia červa začína opakovať od začiatku.


Win32/Kibuv.A (... alias Win32/Stdbot.A)
... predstavuje ďalší internetový červ, ktorý pri svojom šírení využíva nie jednu ale hneď dve bezpečnostné diery objavené v minulosti v rámci OS MS Windows NT/2000/XP – konkrétne sa jedná o bezpečnostnú dieru na úrovni systémovej služby Local Security Authority Subsystem Service (LSASS) a Distributed Component Object Model Remote Procedure Call (DCOM RPC).

Po aktivácii výkonného kódu červa Win32/Kibuv dôjde k počiatočnej kontrole, pri ktorej si červ overí, či už náhodou nie je aktívna jeho kópia v rámci operačnej pamäti. Ak takúto kópiu v pamäti nenájde, uloží do systému kópiu svojho tela – konkrétne do súboru nazvaného KILLBUSH.EXE (... s veľkosťou 11 776 bajtov) a doplní do systémových registrov nové hodnoty, ktoré sa pri každom ďalšom štarte systému postarajú o aktiváciu novovytvoreného súboru.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
... Vote For Kerry = KillBush.exe


Na základe vyššie uvedených informácií, ktoré červ ukladá do systémových registrov sa dá predpokladať, že autor tohto škodlivého kódu nemá príliš v "láske" amerického prezidenta Georga Busha, a zrejme v prezidentskej kampani podporuje skôr jeho protikandidáta Johna Kerryho. Nechajme však politiku na pokoji a vráťme sa späť k červovi Win32/Kibuv, ktorý sa v infikovanom systéme snaží aktivovať jednoduchý FTP server na TCP porte 9604. Tento FTP server má za úlohu poskytovať výkonný kód červa pre ďalšie vzdialené systémy. Okrem toho červ "načúva" aj na TCP porte 420, prostredníctvom ktorého umožňuje jednak zasielať na vzdialené systémy súbor KILLBUSH.EXE s možnosťou jeho aktivácie a tiež získavať nové súbory od vzdialeného útočníka, uložiť ich do infikovaného systému a aktivovať.

Medzi ďalšie aktivity červa patrí generovanie náhodných IP adries počítačov, s ktorými sa pokúša červ priebežne skontaktovať. V prvom prípade červ testuje, či je možné vzdialený systém kontaktovať prostredníctvom TCP portu 135 a využiť pritom bezpečnostnú dieru DCOM RPC. V prípade, že takéto spojenie je možné nadviazať, červ zašle na vzdialený systém špeciálne upravený sieťový paket, ktorý spôsobí na vzdialenom systéme chybu typu Buffer OverFlow, čoho dôsledkom dôjde k spusteniu kódu obsiahnutého v špeciálnom sieťovom packete. Tento kód spätne kontaktuje FTP server bežiaci na už infikovanom systéme a vyžiada si od neho zaslanie výkonného kódu samotného červa s jeho následnou aktiváciou. V druhom prípade červ zasiela vzdialenému systému špeciálne upravený sieťový packet smerovaný na TCP port 5300, pričom jeho úlohou je využiť prítomnosť bezpečnostnej chyby na úrovni systémovej služby LSASS. Chyba spôsobí opäť aktiváciu kódu uloženého v zaslanom sieťovom packete, čoho dôsledkom si vzdialený systém vyžiada od už infikovaného systému zaslanie výkonného kódu červa a následne vykoná jeho automatickú aktiváciu. Po úspešnej aktivácii červa na vzdialenom systéme sa celý proces jeho šírenia začína opakovať od začiatku.

Mimochodom, v tele tohto škodlivého kódu bol identifikovaný nasledujúci textový odkaz:

Hello, LURHQ, Network Associates, F-Secure Corp, and anyone else I left out. I prefer you call this 'Bushkiller' or 'KillBush', and not something lame. Also, I'd like to introduce you to the new 'Team Spaz'. F**k NetSky and the like. Bush must go! Kerry 2004! :-)

Win32/Kibuv.B (... alias Win32/Stdbot.B)
... jedná sa o výrazne rozšírený variant pôvodného červa Win32/Kibuv, ktorý sa šíri prostredníctvom počítačovej siete Internet, pričom pri snahe preniknúť do počítačových systémov s OS MS Windows 9x-XP využíva viacero bezpečnostných dier a alternatívnych možností – tu je ich prehľad:

Po aktivácii sa červ snaží integrovať do systému spustiteľný súbor s variabilným názvom: "KILLBUSH.EXE / BOTTLER.EXE / BOT.EXE" (... s veľkosťou 18 944 bajtov) a doplniť naň potrebné odkazy do systémových registrov. V infikovanom systéme aktivuje tiež jednoduchý FTP server, ktorý je dostupný na TCP porte 7955 a slúži pre poskytovanie výkonného kódu červa ďalším vzdialeným systémom. Okrem týchto aktivít sa červ pokúša pripojiť aj na IRC (Internet Relay Chat) server irc.nugs.us:6667, kde čaká na prípadné príkazy od vzdialeného útočníka. Na druhej strane sa červ dokáže pripojiť k niekoľkým ďalším IRC serverom, kde jednotlivým používateľom zasiela správy v tvare napríklad: ftp://x:x@[IP adresa infikovaného systému]:7995/bot.exe. Tým pádom treba počítať aj s tou možnosťou, že červ Win32/Kibuv.B sa bude šíriť prostredníctvom vybraných IRC komunikačných kanálov. Celkový princíp šírenia sa tohto červa za použitia jednotlivých (... vyššie spomenutých) bezpečnostných chýb OS MS Windows je identický ako pri predchádzajúcich škodlivých kódoch.

Apropo, v tele tohto škodlivého kódu bol identifikovaný nasledujúci textový odkaz, ktorý naznačuje, že červ Win32/Kibuv.B vytvorili spoločne dvaja tvorcovia:

220 StnyFtpd 0wns j0
--------------------------------'
| only outlaws will have privacy |
| when they outlaw cryptography, |
|                                |
| Authors: st0ney & terry        |
| StdBot v0.1 (private)          |
+================================+


Vzhľadom na vyššie spomenuté informácie týkajúce sa internetových červov, ktoré sa šíria počítačovou sieťou Internet odporúčame všetkým používateľom, aby čo najskôr vykonali aktualizáciu používaného AV-systému, navštívili web stránky aktualizačného servera Microsoft Windows Update a nainštalovali si do svojich systémov všetky dostupné (... minimálne však aspoň kritické) bezpečnostné záplaty. Pre tých "šťastlivcov – nešťastníkov", ktorým sa už podarilo aktivovať vo svojom systéme červy Win32/Bobax.A, .C alebo Win32/Kibuv.A ponúkame jednoúčelové AV-programy určené pre ich rýchlu elimináciu – dostupné sú v sekcii nazvanej Jednoúčelové AV-programy.



Súvisiace články:
25.06.2004  Win32/Korgo.Gen - Popisy vírusov
12.05.2004  Win32/Sasser.E & .F - Popisy vírusov
01.05.2004  Win32/Sasser.A - .D - Popisy vírusov


Systémové hlásenie:
Pri generovaní stránky sa vyskytla nasledujúca chyba - nepodarilo sa nájsť požadovaný zdroj dát!

Na odstránení vzniknutého stavu sa intenzívne pracuje, skúste navštíviť naše web stránky o niečo neskôr.