Vírusy.sk - Informačný web server (www.virusy.sk)

Novinky - PC Vírusy - AV Systémy - Virus Bulletin - Download

_Novinky__
Editoriál
Novinky

_PC Vírusy__
Popisy vírusov
Vírusový radar
Poplašné správy
Napadnutý vírusom?
Diskusia o vírusoch

_AV Systémy__
AV programy
AV spoločnosti
AV testy
Trial verzie AV
Online verzie AV
Jednoúčelové AV
Diskusia o AV

_Virus Bulletin__
Virus Bulletin
Virus Bulletin
2004-2005

_O Vírusoch__
eKonferencie
Encyklopédie
Publikácie

_Redakcia__
Kontakt
Spolupráca

_Partneri__
LTC.sk

_Spriatelené sajty__
AVIR.sk
DrWeb32.sk
AEC.sk
Grisoft.cz
BitDefender.com
Info Consult.sk

 

 
 
25.06.2004 - Martin LEPIŠ - Popisy vírusov
Win32/Korgo.Gen  (alias Win32/Padobot)

Nadchádzajúce obdobie letných prázdnin sa v posledných dňoch značne prejavuje už aj na vývoji v oblasti tvorby škodlivých kódov. Intenzita vzniku nových – masovo sa šíriacich škodlivých kódov výrazne poklesla, hoci stále možno pozorovať vznik nových variantov niektorých červov, ako sú: Win32/SpyBot alebo Win32/Korgo. Dá sa teda opäť hovoriť o dočasnom pokoji, ktorý zavládol na scéne škodlivých kódov. Nás v tomto smere zaujal červ Win32/Korgo, ktorého prvý variant sa síce objavil už na prelome mesiaca máj a jún, no v uplynulých dňoch bolo možné zaznamenať vznik väčšieho počtu jeho mierne modifikovaných variantov. Každý z nich pri svojom šírení využíva bezpečnostnú chybu LSASS (Local Security Authority Subsystem Service), ktorú ako prvý zneužil červ Win32/Sasser.

Ma margo udalostí tohto týždňa sa oplatí spomenúť, že informačný server CRN.com zverejnil dňa 21.6.2004 informácie, podľa ktorých by mala byť AV-spoločnosť Network Associates pripravená na odpredaj, pričom ako hlavným záujemcom o jej odkúpenie by mala byť spoločnosť Microsoft. V tejto súvislosti sa objavili tiež špekulácie o tom, že by práve Microsoft mohol mať majoritný záujem o získanie veľkej AV-spoločnosti so silným zázemím. Minulý týždeň totiž Microsoft zverejnil informácie o tom, že ním vyvíjaný AV-systém (... vychádzajúci z technológie AV-systému RAV) bude distribuovaný nie ako súčasť OS MS Windows, ale ako samostatná aplikácia. Netrvalo príliš dlho a informácie o predaji AV-spoločnosti Network Associates verejne poprel jej popredný predstaviteľ George Samenuk (CEO), ktorý však pripustil ďalšiu spoluprácu spoločnosti Network Associates s Microsoftom v rámci rozbehnutého projektu nazvaného Virus Information Alliance (VIA).

Bežne býva našim zvykom uverejňovať výlučne popisy konkrétnych variantov škodlivých kódov. Vzhľadom na veľký počet novovzniknutých modifikácií internetového červa Win32/Korgo sa teraz vynasnažíme zhrnúť jeho hlavnú charakteristiku, ktorá by mala byť dostatočne univerzálna (... hoci nemusí byť úplne presná).

Internetový červ Win32/Korgo (alias Win32/Padobot) sa dokáže šíriť výlučne medzi počítačovými systémami s OS MS Windows 2000/XP, využívajúc pritom bezpečnostnú chybu na úrovni Local Security Authority Subsystem Service. Táto chyba umožňuje vzdialenému útočníkovi prostredníctvom špeciálne upraveného sieťového packetu zaslaného na nezabezpečený počítač vyvolať stav označovaný ako Buffer OverFlow (t.j. pretečenie zásobníka). Týmto spôsobom dokáže vzdialený útočník preniesť a následne aj aktivovať na vzdialenom systéme ľubovoľný, napríklad škodlivý kód alebo skript, ktorý do vzdialeného počítača prenesie zadané dáta. Viac informácií o tejto bezpečnostnej chybe je možné nájsť na web stránkach spoločnosti Microsoft alebo v rámci Vulnerability Information Center, prevádzkovaného spoločnosťou Computer Associates.

Ako sme už spomenuli vyššie tento škodlivý kód predstavuje riziko len pre počítačové systémy s OS MS Windows 2000/XP, ktoré nedisponujú osobným firewallom blokujúcim nežiadúcu sieťovú komunikáciu alebo pre systémy, ktoré ešte stále nemajú nainštalovanú bezpečnostnú záplatu popísanú v rámci Microsoft Security Bulletin MS04-011 (835732). Červ sa medzi jednotlivými počítačmi šíri priamo prostredníctvom počítačovej siete, čo znamená, že nepotrebuje pre svoju aktiváciu "pomoc" zo strany používateľa.
Po aktivácii sa červ umiestni do operačnej pamäte počítača, pokúsi sa z adresára odkiaľ bol aktivovaný odstrániť súbor GO.EXE alebo FTPUPD.EXE (... v závislosti od variantu) a rovnako odstrániť aj vybranú skupinu hodnôt uložených v systémových registroch, konkrétne v kľúči:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Väčšina variantov červa Win32/Korgo pridáva do systémových registrov nasledujúce hodnoty:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wireless
... Client = 1
... ID = [náhodná hodnota]


Ďalej červ vytvorí novú kópiu svojho tela, ktorú uloží na pevný disk – konkrétne do systémového adresára OS MS Windows (t.j.?:\Windows\System32 pri OS MS Windows XP, ?:\WINNT\System32 pri OS MS Windows 2000). Názov novovytvoreného súboru je generovaný náhodne podľa šablóny: [5 až 8 náhodných znakov].EXE (... s veľkosťou 9 až 11 kB, v závislosti od variantu). Odkaz na takto vytvorený súbor je automaticky pridaný aj do systémových registrov, pričom slúži pre automatickú aktiváciu červa, pri každom ďalšom štarte systému. S ohľadom na existujúce varianty je do registrov doplnený vždy len jeden z nasledujúcich odkazov:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
... WinUpdate = [cesta k systémovému adresáru OS]\[5 až 8 náhodných znakov].exe
... WindowsUpdate = [cesta k systémovému adresáru OS]\[5 až 8 náhodných znakov].exe
... Update Service = [cesta k systémovému adresáru OS]\[5 až 8 náhodných znakov].exe
... SysTray = [cesta k systémovému adresáru OS]\[5 až 8 náhodných znakov].exe
... Disk Defragmenter = [cesta k systémovému adresáru OS]\[5 až 8 náhodných znakov].exe
... System Restore Service = [cesta k systémovému adresáru OS]\[5 až 8 náhodných znakov].exe
... Cryptographic Service = [cesta k systémovému adresáru OS]\[5 až 8 náhodných znakov].exe


Staršie varianty červa Win32/Korgo sa po ukončení uvedených operácií pokúšajú aktivovať novovytvorený súbor zo systémového adresára OS MS Windows, ktorý obsahuje výkonný kód samotného červa a zároveň ukončiť pôvodný proces, ktorý zabezpečil vykonanie vyššie uvedených operácií. Novšie varianty sa snažia maskovať svoju prítomnosť v systéme tým, že sa pokúšajú externe pripojiť k procesu Windows Explorer (EXPLORER.EXE). To im umožňuje skryť ich aktivitu najmä na úrovni Správcu úloh, kde by sa za normálnych okolností dal proces patriaci škodlivému kódu identifikovať a ukončiť. V prípade, že sa novším variantom červa nepodarí externe pripojiť k procesu Windows Explorer, aktivujú sa ako samostatné procesy.

V ďalšej fáze činnosti sa staršie varianty červa Win32/Korgo snažia skontaktovať niektorý z preddefinovaných IRC serverov, zatiaľ čo novšie varianty kontaktujú niektorý z preddefinovaných HTTP serverov. Úlohou týchto IRC/HTTP serverov je poskytnúť aktívnej kópii červa novú aktualizáciu jeho vlastného kódu, prípadne odkaz, odkiaľ môže stiahnuť novšiu verziu svojho kódu a automaticky ju aktivovať v už infikovanom systéme. Medzi najdôležitejšie činnosti červa patrí jeho šírenie sa priamo prostredníctvom počítačovej siete. Za týmto účelom si musí červ na strane infikovaného systému otvoriť náhodne vybrané sieťové porty (... najčastejšie sa jedná o porty: 113, 3067, 5111 alebo porty z intervalu: 256-8191, v závislosti od variantu), na ktorých očakáva žiadosti vzdialených systémov o zaslanie jeho výkonného kódu, t.j. samotného červa. Následne potom začne červ generovať náhodné IP adresy vzdialených počítačov, s ktorými sa snaží spojiť cez TCP port 445 a využiť prítomnosť vyššie spomínanej bezpečnostnej diery. V prípade úspešného spojenia s nezabezpečeným počítačom červ zašle na vzdialený systém obsahovo upravený sieťový packet, ktorý spôsobí na úrovni služby LSASS pretečenie zásobníka. To má za následok aktivovanie kódu obsiahnutého v upravenom sieťovom packete, ktorý sa spätne spojí s infikovaným systémom a vyžiada si od neho zaslanie výkonného kódu červa. Po kompletnom prijatí požadovaného kódu dôjde k jeho aktivácii – avšak už priamo na vzdialenom počítači. Tým pádom sa začína celý vyššie popísaný proces opakovať od začiatku.
Mimochodom, pri snahe tohto červa preniknúť do vzdialeného nechráneného systému môže byť sprievodným javom zobrazenie dialógového okna, ktoré informuje používateľa o vzniku chyby na úrovni systémovej služby LSASS / LSA Shell, čoho následkom môže dochádzať k automatickému reštartu počítača (... pozri obrázok – v prípade OS MS Windows 2000 / pozri obrázok – v prípade OS MS Windows XP).

Vzhľadom na výraznejšie šírenie sa nových variantov internetového červa Win32/Korgo odporúčame všetkým používateľom, aby pravidelne vykonávali aktualizáciu nimi používaného AV-systému, navštívili web stránky aktualizačného servera Microsoft Windows Update a nainštalovali si do svojich systémov všetky dostupné (... minimálne však aspoň kritické) bezpečnostné záplaty. Pre tých "šťastlivcov – nešťastníkov", ktorých systém už stihol infikovať niektorý z existujúcich variantov vyššie spomínaného červa ponúkame jednoúčelové AV-programy určené pre jeho rýchlu elimináciu – dostupné sú v sekcii nazvanej Jednoúčelové AV-programy.



Súvisiace články:
19.05.2004  Win32/Bobax.A - .C & Win32/Kibuv.A - .B - Popisy vírusov
12.05.2004  Win32/Sasser.E & .F - Popisy vírusov
01.05.2004  Win32/Sasser.A - .D - Popisy vírusov


Systémové hlásenie:
Pri generovaní stránky sa vyskytla nasledujúca chyba - nepodarilo sa nájsť požadovaný zdroj dát!

Na odstránení vzniknutého stavu sa intenzívne pracuje, skúste navštíviť naše web stránky o niečo neskôr.