e-mail 
 
  КИБЕРНЕТ - консалтинг и услуги в области компьютерных коммуникаций
 
   
Начало Услуги Тарифы Настройки Сетевой этикет Вакансии Контакты

Worm.Win32.Sasser.b

[ 01.05.2004 20:03, GMT +03:00, Москва ]
Опасность: средняя
Вирус-червь.
Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS04-011:
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
Червь написан на языке C/C++, с использованием компилятора Visual C.
Имеет размер ок. 15 Кб, упакован ZiPack.
Размножение:
При запуске червь регистрирует себя в ключе автозапуска системного реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
avserve2.exe = %WINDIR%\avserve2.exe
Червь сканирует IP-адреса в поисках компьютеров, подверженных уязвимости MS04-011. Уязвимый компьютер на TCP-порту 9996 запускает командную оболочку "cmd.exe" и принимает команду на загрузку и запуск копии червя.
Загрузка выполняется по протоколу FTP.
Для этого червь запускает FTP-сервер на TCP-порту 5554 и по запросу с уязвимого компьютера загружает туда свою копию. Загруженная копия имеет имя "N_up.exe", где N - случайное число.

Проверка, дезинфекция и защита:

1. Скачать антивирусную программу sassgui.com с нашего сайта или с первоисточника - http://www.sophos.com/support/cleaners/sassgui.com и запустить для проверки и дезинфекции.
2. Поставить патч (заплатку) от Майкрософт для операционных систем:
1) Windows 2000 Service Pack 2, или 3, или 4 (русская и англ.);
2) Windows XP и Windows XP Service Pack 1 (русская и англ.);
3) Windows XP версия 64 бита (только англ.);
4) Windows XP release 2003 64 бита (только англ.)
Патч для других операционных систем можно взять со страницы:
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx.

I-Worm.Mydoom

Служба круглосуточного мониторинга "Лаборатории Касперского" сообщает о зафиксированом ночью 27 января 2004 года начале крупномасштабной эпидемии почтового червя Mydoom, также известного как Novarg. В настоящий момент всеми антивирусными компаниями данному червю присвоен максимальный уровень опасности. Количество зараженных писем в интернете исчисляется несколькими миллионами экземпляров.

I-Worm.Mydoom, вирус-червь. Также известен как Novarg. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам, а также по сетям файлообмена Kazaa. Червь является приложением Windows (PE EXE-файл), имеет размер 22 528 байт, упакован UPX. Размер распакованного файла около 40KB.

Червь активизируется, только если пользователь сам откроет архив и запустит зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения. Червь содержит в себе "бэкдор"-функцию, а также запрограммирован на проведение DoS-атаки на сайт www.sco.com 1 февраля 2004 года.

Часть тела вируса зашифрована.

Инсталляция. После запуска червь запускает Windows Notepad в котором демонстрирует произвольный набор символов.

При инсталляции червь копирует себя с именем "taskmon.exe" в системный каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"TaskMon" = "%System%\taskmon.exe"

Червь создает в системном каталоге Windows файл "shimgapi.dll", являющийся "бэкдор"-компонентом (прокси-сервер) и также регистрирует его в системном реестре:

[HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
"(Default)" = "%SysDir%\shimgapi.dll"

Таким образом, данная DLL запускается как дочерний процесс "Explorer.exe".
Также червь создает файл "Message" во временном каталоге системы (обычно, %windir\temp). Данный файл содержит произвольный набор символов.

Для идентификации своего присутствия в системе червь создает несколько дополнительных ключей системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version]

Для этой же цели, в процессе работы, червь создает уникальный идентификатор "SwebSipcSmtxSO".

Рассылка писем. При рассылке зараженных писем червь использует собственную SMTP-библиотеку. Червь пытается осуществить прямое подключение к почтовому серверу получателя. Для обнаружения адресов электронной почты, по которым будет вестись рассылка зараженных писем, червь ищет на диске файлы, имеющие расширения:

asp
dbx
tbb
htm
sht
php
adb
pl
wab
txt

и собирает найденные в них адреса электронной почты. При этом червем игнорируются адреса, оканчивающиеся на ".edu".

Содержание зараженных писем. Адрес отправителя:

[произвольный]

Тема письма выбирается произвольно из списка:

test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

Тело письма выбирается произвольно из списка:

test

The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment.

The message contains Unicode characters and has been sent
as a binary attachment.

Mail transaction failed. Partial message is available.

Имя вложения может иметь либо одно слово, либо быть составленным из двух отдельных, соединенных символом "_":

document
readme
doc
text
file
data
test
message
body

Вложения могут иметь одно из расширений:

pif
scr
exe
cmd
bat

Также червь может посылать письма с бессмысленным набором символов в теме письма, тексте письма и имени вложения.

Размножение через P2P. Червь проверяет наличие установленного на машине клиента Kazaa и копирует себя в каталог файлообмена под следующими именами:

winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004

с расширением из списка:

bat
exe
scr
pif

Прочее. "Shimgapi.dll" представляет из себя прокси-сервер. Червь открывает на зараженной машине TCP порт из диапазона от 3127 до 3198 для приема команд. Функционал "бэкдора" позволяет злоумышленнику получить полный доступ к системе. Кроме этого, "бэкдор" может загружать из интернета и запускать на исполнение произвольные файлы.

В черве заложена функция организации DoS-атаки на сайт www.sco.com. Эта функция должна быть активирована 1 февраля 2004 года и будет работать вплоть до 12 февраля 2004 года. Червь каждую миллисекунду отсылает на 80 порт атакуемого сайта запрос GET, что в условиях глобальной эпидемии может привести к полному отключению данного сайта.

Загрузить патч
Для клиентов:
ID:
Пароль:
 
Copyright © KYBERNET.RU 2003 г.