Prim Hírek

Nagyapáink - bár nem egy edény volt a konyhában - rákényszerültek, hogy a hibásakat megjavíttassák, megfoltoztassák. Ez ment egy ideig, de eljött az a pont, amikor az edényből a víz a folt mellett is folyt. Megfoltoztathatták volna ismét - de jött egy ésszerű számvetés: minél rosszabb lesz, annál többet kell költeni a foltozásra, ami előreláthatóan nem javítja ki a hibát. Sok folt kellene ahhoz, hogy az edény ne eresszen, és ez sokba kerül. Többe, mint egy új edény. A gondolkodás logikus, a használhatatlan edényt a többi közül kidobták, és vettek egy újat, ami sok évig garantáltan nem lyukadt ki. Valahogy ezt kellene szem előtt tartani a hibás, foltozott rendszer elemek esetében is, nem kockáztatni az egész rendszer biztonságát.

Miért írtam mindezt: néhány sor olvasása után kiderül, de a kérdéses sorok előtti ismertetők is tartalmaznak újdonságokat napjaink vírusairól, olyanokat, amiket ismerve egyszerűbben védhetjük meg rendszerünket, konfigurálhatjuk tűzfalunkat a vírusadatbázis-frissítés mellett.

***

WM97/Simuleek-C

Más név: Macro.Word97.Omni, W97M.Radnet, W97M_BUHAY, W97M/Simuleek

Fajta: Word 97 makróvírus

Leírás:

WM97/Simuleek-C makróvírus, mely egy VBS scriptet is "letesz" fertőzésekor, melyet a víruskeresők VBS/Simuleek-C-t észlelnek.

VBS/Simuleek-C a WIN.INI-be jegyez be egy parancssort, ami biztosítja, hogy minden Windows-indításkor a vírusprogram is aktiválódik, "futni kezd". Igen kellemetlen tulajdonsága, hogy a Word környezetet többször is meg tudja fertőzni, tehát ismételt vírusfertőzést újrafertőzés követ.

Eléggé nehezen "kódolható egyszerű agyunkkal", de a Simuleek-C megkísérli a talált szövegekben - ha előfordul - a "Ranuya" szót helyettesíteni "John"-nal.

***

W32/Sluter-B

Más név: W32.Randex.F

Fajta: Win32 féreg

A Sophos számtalan jelzést kapott a "vadonból" a féreg aktivitásáról.

Leírás:

W32/Sluter-B elsősorban gyenge, könnyen dekódolható jelszavakkal védett megosztott hálózatokon terjed. Fertőzéskor a féreg bemásolja magát netd32.exe néven a Windows mappába. A regisztrációs adatbázisba - hogy futása állandóan biztosított legyen - az alábbi bejegyzéseket írja a megfelelő kulcsokhoz:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

Microsoft Network Daemon Win32 = netd32.exe

és

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

Microsoft Network Daemon Win32 = netd32.exe

Ezenkívül a W32/Sluter-B képes arra, hogy pontosan úgy viselkedjen, mint egy IRC hátsóajtó-féreg, és a megnyitott résen, porton korlátlan lehetősége van minden távoli betolakodónak a fertőzött rendszerbe hatolni.

***
W32/Slanper-A

Más név: W32/Slanper.féreg, Win32/HLLW.Rejase.A

Fajta: Win32 féreg

A Sophos Anti-Vírus számtalan jelzést kapott a "vadonból" a féreg aktivitásáról.

Megjegyezés: A Sophos 2003. jún. 27. (GMT 16:51) óta észleli a vírust, de miután az analízis változásokat mutatott, szükséges ismét felhívni rá a figyelmet, és a változás alapján módosítani az adatbázist.

Leírás:

W32/Slanper-A internetféreg, aminek a célja az SMB/Windows megosztott portot birtokba venni, használni. Mindent Windows host esetében ez az SMB-vel megosztott portként működik. Itt kell megjegyezni, hogy SMB részletek vagy ahhoz hasonlóak találhatók a Unix, ill. más operációs rendszereken is. A féreg rendszerint msmsgri3.exe néven "érkezik". A fertőzés utáni első futásakor is a háttérben fut, és a regisztrációs adatbázis kódjaiban is olyan változásokat tesz, melyek ezt biztosítják:

HKLM/Szoftver/Microsoft/Windowsok/CurrentVersion/Run/mssyslanhelper

bejegyzés tartalmazza a féreg útvonalát.

W32/Slanper-A véletlenszerűen generált listát, melyek IP listának felelnek meg. A saját maga által generált lista létező IP-it megpróbálja összekötni, és a 445-ös porton keresztül ily módon terjedni. A sok más féregtől eltérően viselkedő W32/Slanper-A féreg analizálásakor feltűnt, hogy van egy hátsóajtó (backdoor) függvény is benne.

Miért írtam, hogy érdekes, szokatlan: a féregnek van egy másodlagos összetevője, ami kiszabadulva önálló fertőzésre képes féregfajta lesz. Ez az összetevő payload.dat fájlnéven található abban a mappában, ahol a féreg is. A payload.dat kódja aktiválódik, és futni kezd, a regisztrációs adatbázist az alábbiakban módosítja:

HKLM/Szoftver/Microsoft/Windowsok/CurrentVersion/Run/System Initialization

mindez biztosítja azt a lehetőséget, hogy amennyiben sikerült, a 445-ös port megszerzése után, azt használva, fenntartsa e kapcsolatát, úgy, hogy a féreg mindezek hátterében fut.

***

Azt hiszem hogy a következő féreg ismertetése előtt meg kell állni egy rövid időre: A Windows RPC-DCOM csomagkezelési hiba észlelése után idővel, kihasználva azt megjelent először a Troj/Autoroot-A, közben észlelték az Internet Explorer és az Outlook Express hibáit, leírásuk a Windows tudásbázis MS01-015, MS02-014, MS02-15-ben található, ill a javító patch az MS03-14 mellékleteként. A hibát használta ki a Mimail, amiről a szeptemberi Vírus Bulletin lapjain Szappanos Gábor, a VírusBuster munkatársa írt szenzációs elemzést. Majd "jött a Blaster-A", ill a Lovesan. Ez kellett ahhoz, hogy a meglévő foltot mindenki feltegye a rendszerére. De ennek elmaradása - a felhasználói felelőtlenség miatt - hatalmas endémiákat okozott. Bár aki felrakta a javításokat (úgy vélte), megnyugodhat. (Áprilisban a böngésző és a levelező két Cumulative Patch, ill. júliusban az PRC-DCOM Cumulative Patch - revizió augusztusban).

Tehát nyugodtak lehettünk egy ideig, míg ki nem derült, hogy ismétlődik a történelem: hiba van a Windows rendszerekben. „A biztonsági réseket az RPCSS Service-ban fedezték fel (az úgynevezett Distributed Component Object Model (DCOM) felületében); egy rosszul definiált üzenet nem megfelelő kezeléséből származnak. A három új sérülékenységből kettő lehetővé teszi, hogy a támadó kódot futtathasson a nyitott rendszeren, a harmadik pedig DoS-támadásra használható fel. Kiaknázásukkal a behatoló bármit megtehet (helyi rendszerprivilégiummal): programot telepíthet, ellenőrizhet, adatokat nézhet/változtathat meg vagy törölhet le, és akár új accountokat is létrehozhat a rendszerben." (terminal.hu).

Hát igen - kilyukadt a folt... Nem baj, foltozzuk meg - sürgős javítás, újabb javítás, és annyi folt került a Windows csomagkezelő alkalmazására, hogy "már nem is látszik". Vagy mégis - a Blastertől egy valamit megtanulhattunk: DCOM összetevő az alábbi portokon támadható: TCP/IP port 69/UDP, 135/TCP, 135/UDP, 139/TCP, 139/UDP, 445/TCP, 445/UDP, 593/TCP, 1086/TCP, 4444/TCP. Melyik portot "nézte ki" magának?, a 445-ös portot.

Az PRC -DCOM protokoll esetében intranetes környezetben a kommunikáció a 135-ös porton történik: "Ha az RPC protokollnak a TCP/IP protokollon keresztüli üzenetváltást kezelő részében biztonsági rés található - kimondható, hogy a hiba a helytelenül formázott üzenetek nem megfelelő kezeléséből ered. Ez a bizonyos biztonsági rés az elosztott komponensobjektum-modell (Distributed Component Object Model, DCOM) és az RPC közötti illesztő felületet érinti, amely a 135-ös TCP/IP portot figyeli. A felület az ügyfélszámítógépek által a kiszolgálónak küldött DCOM-objektum aktiválási kéréseket kezeli (például univerzális elnevezési konvenció [UNC] szerinti elérési utak). A hiba kihasználásához a támadónak speciálisan formázott kérést kell küldenie a távoli számítógépnek a 135-ös porton. Intranetes környezetben ez a port általában elérhető, az internethez csatlakozó számítógépeknél azonban a 135-ös portot rendszerint blokkolja a tűzfal."

Ez eddig rendben is van - de ne feledkezzünk meg, hogy a 445 TCP, UDP port is hasonlóan sérülékeny pontja a protokollnak.

Az „ismételt" hiba felfedezésekor néhány igen komoly szaktekintély részben magánlevélben, részben nyilatkozatban felvetette, hogy az előzőhöz, a Blasterhez hasonlóan, itt is a hiba felfedése után kb. 2 héttel vérhatóak a "komolyabb, intelligensebb" vírusok, várható egy hibán alapuló vírusinvázió. Előfordulhat, hogy a W32/Slanper-A a várható invázió előfutára lenne?

***

Troj/JSurf-B

Fajta: Trójai

Leírás:

Troj/JSurf-B HTML formátumú e-mail részeként terjed, elvileg a Cumulative Internet Explorer of Patch (MS03-032) megerősítette a hibát, védetté tette a gépeket.

Ha mégsem védené meg, vagy ha nem installálták a javítást, arra az esetre: amit a féregről tudni kell:

A HTML e-mail tartalmaz egy címet, egy "Object Data"-t. Olyan távoli objektét, amin egy VBS script fut. A fertőzés esetén a gépre jut egy .exe fájl, a rendszermeghajtóra, SFBAR.EXE néven. Ennek "segítségével" a távoli weblapról a Troj/JSurf-B letölt egy DLL-t: C:\Program Files\win32.dll. Ha mindez sikerül, akkor mint regsvr32.exe futhat a vírus a rendszeren. Azt hiszem, hogy a következményeket kár taglalni.

***

W32/Blaxe-A

Más nevek: Worm.P2P.Blaxe, Win32/Lablan.A, W32.HLLW.Blaxe, WORM_BLAXE.A

Meghatározás: Win32 féreg

Leírás:

W32/Blaxe-A minden elérhető, "nyitott" P2P megosztott hálózaton képes terjedni. Fertőzéskor, mikor a W32/Blaxe-A bemásolja magát a Windows mappába, BearShare.exe és WinBat.exe neveken, a következő változásokat idézi elő futása érdekében a rendszerleíró adatbázisban:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\BearShare

= WindowsBearShare.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\BearShare

= Windows\BearShare.exe

W32/Blaxe-A hozzáadja az útvonalát (ha van) a WinBat.exe-hez, illetve a regisztrációs adatbázishoz, hogy MS-DOS rendszeren is futhasson.

HKLM\Software\CLASSES\batfile\shell\open\command

W32/Blaxe-A a Kernellbe másolja magát különféle neveken.

• (Adult porn sex nude illegal gangbang) Website Password Cracker.exe
• A+ Certification Ultimate Study Guide.exe
• ACDSee 4.1 cracked.exe
• Adobe 6 crack.exe
• Adobe 6 full (iso).exe
• Adobe 6.0 crack.exe
• Adobe 6.0 full.exe
• Adobe 6.0.exe
• Adobe crack.exe
• Adobe Photoshop 6 Ultimate Study Guide.exe
• Adobe Photoshop 6.0.exe
• Adobe Photoshop.exe
• Adult movie.exe
• adult(hardcore sex movie xxx)movie.exe
• AdvZip Recovery.exe
• AIM hacker.exe
• AIM Pass stealer.exe
• aim.exe
• aimcracker.exe
• aimhacker.exe
• All Cliff notes (cliff's).exe
• AMI BIOS Cracker.exe
• anarchistcookbook.exe
• anastasia anal.exe
• anastasia naked.exe
• anastasia nude.exe
• Anonymous email.exe
• ANSI C Ultimate Study Guide.exe
• antistudy.exe
• AOL Hacker.exe
• aol.exe
• Autocad 2002 Crack.exe
• BabylonX Backdoor.exe
• BabylonX password cracker.exe
• Bandwidth Booster 4.2 for Cable.exe
• BlackICE Defender.exe
• Borland C++ Builder 8.0 iso.exe
• Britney Spears anal movie.exe
• Britney Spears Blowjob movie.exe
• Britney Spears hardcore xx movie.exe
• Britney Spears in bath (movie).exe
• Britney Spears naked.exe
• Britney Spears Nipple slip.exe
• Britney Spears nude wallpaper.exe
• BRUTAL FORCED PRETEEN ANAL SEX.exe
• buttman.exe
• C++ Ultimate Study Guide.exe
• Cable Modem Anonymizer.exe
• Cable Uncapper.exe
• catherine zeta jones anal.exe
• catherine zeta jones naked.exe
• catherine zeta jones nude.exe
• Christina Aguilera adult movie.exe
• Christina Aguilera having sex(mov).exe
• Christina Aguilera movie.exe
• Christina Aguilera nude wallpaper (xxx lesbian).exe
• Christina Aguilera sucks cock.exe
• CloneCD Crack (all versions).exe
• CloneCD Keygen.exe
• CloneCD.exe
• College Biology Ultimate Study Guide.exe
• College Chemistry Ultimate Study Guide.exe
• College Computer Engineering Ultimate Study Guide.exe
• College Computer Science Ultimate Study Guide.exe
• College English Ultimate Study Guide.exe
• College Ethics Ultimate Study Guide.exe
• College History Ultimate Study Guide.exe
• College Philosophy Ultimate Study Guide.exe
• Command and Conquer cnc c&c Generals iso.exe
• Command and Conquer cnc c&c Renegade iso.exe
• Conceal PC Firewall.exe
• Copy (11) of ZoneAlarm Firewall Pro.exe
• Copy of ZoneAlarm Firewall Pro.exe
• Counter Strike CD Keygen.exe
• counter-strike.exe
• Crack XBOX live.exe
• Credit Card number generator VERIFIER (cc cc#).exe
• Dark Planet Battle For Natrolis cracked.exe
• Delphi 5 Keygen.exe
• Delphi 6 Keygen.exe
• Delphi Ultimate Study Guide.exe
• delphi.exe
• Digimon.exe
• DivX Codec 4.0 (codec only).exe
• DivX Codec 5.0 (codec only).exe
• DivX Codec 6.0 beta (codec only).exe
• divx fix.exe
• divx pro.exe
• divx repair.exe
• DoS Attacker.exe
• Dreamcast Emulator.exe
• driver.exe
• DSL Anonymizer.exe
• DSL Uncapper.exe
• Easy CD Creator crack (all versions) (core).exe
• edonkey serverlist.exe
• Emailbomber.exe
• End Of Twilight iso.exe
• ESPN NFL Primetime 2002 iso.exe
• ftp cracker.exe
• ftp hacker.exe
• fuck.exe
• Gamecube Emulator.exe
• Ghost Recon - Desert Siege.exe
• Girls gone wild collection - sex porn nudity hardcore (self-extractor).exe
• GTA 2 crack noCD.exe
• GTA Vice City crack noCD.exe
• GTA Vice City crack.exe
• gta3.exe
• hack aim.exe
• Hack hotmail.exe
• hacker utils 2002.exe
• hacking tools 2002.exe
• Half life Cd keygen.exe
• happybirthday.exe
• Hooligans iso.exe
• host faker.exe
• host spoofer.exe
• HotGirls.exe
• hotmail account sniffer.exe
• hotmail hack.exe
• hotmail hacker.exe
• hotmailcracker.exe
• hotmailhacker.exe
• HOWTO Crack XBOX live.txt.exe
• ICQ AIM Password stealer.exe
• ICQ hack.exe
• ICQ Hackingtools.exe
• icqcracker.exe
• icqhacker.exe
• ident faker.exe
• ident spoofer.exe
• IIS shellbind exploit.exe
• Incoming Forces iso.exe
• invisible IP.exe
• ip faker.exe
• ip spoofer.exe
• IRC hacker.exe
• Kate Winslet adult movie.exe
• Kazaa Advertisement Ad remover.exe
• kazaa.exe
• keygen all.exe
• Keylogger v1.0.exe
• kmd151 en.exe
• learn how to hack.exe
• linux root.exe
• Linux rootaccess.exe
• linux.exe
• Macromedia Flash 5 Ultimate Study Guide.exe
• Macromedia Flash 5.exe
• Max Payne full iso.exe
• Max Payne Multiplayer Addon.exe
• MCSE Ultimate Study Guide.exe
• Microsoft Office XP Upgrade (from older versions).exe
• Microsoft Visual C++ 7.0 iso.exe
• Might and Magic 1 crack.exe
• Might and Magic 2 crack.exe
• Might and Magic 3 crack.exe
• Might and Magic 4 crack.exe
• Might and Magic 5 crack.exe
• Might and Magic 6 crack.exe
• Might and Magic 7 crack.exe
• Might and Magic 8 crack.exe
• Might and Magic 9 crack.exe
• Mirc 6.4.exe
• mIRC backdoor hack.exe
• Monsterville cracked.exe
• MSN banner remover.exe
• MSN hacker.exe
• msn IP finder.exe
• msncracker.exe
• msnhacker.exe
• Nero 5.5 Crack.exe
• Nero Burning Rom 5 cracked.exe
• Nero Burning Rom 5.5 Crack.exe
• Nikki Cox nude.exe
• Nikki cox Playboy session.exe
• Nikki Cox sex movie.exe
• Norton AntiVirus 2002.exe
• Norton Internet Security 2002.exe
• Norton Systemworks 2002.exe
• Norton Utilities 2002.exe
• Notron Utilities 2002.exe
• Office key Gen.exe
• Office XP Corporate Ed. iso.exe
• Office XP crack.exe
• Office Xp keygen.exe
• OfficeXP Keygen.exe
• Oni 2nd second edition.exe
• Pamela Anderson adult movie.exe
• pamela anderson anal.exe
• Pamela Anderson and Tommy Lee hardcore holiday movie.exe
• Pamela Anderson deepthroat.exe
• Pamela Anderson gets fucked.exe
• pamela anderson naked.exe
• pamela anderson nude.exe
• pamela anderson.exe
• Perl Ultimate Study Guide.exe
• PHP4 Ultimate Study Guide.exe
• Playboy nude wallpaper.exe
• Playstation 2 PS2 Emulator.exe
• Pokemon.exe
• porn account cracker.exe
• porn account hacker.exe
• PS1 BootCD.exe
• PS2 BootCD.exe
• PS2 emulator bleem.exe
• Quake 3 cracked (works on all servers).exe
• Quake 4 leaked beta (cracked).exe
• Quicken Pro 2002 iso.exe
• Ray Crisis iso.exe
• Return to the Castle Wolfenstein iso.exe
• sandra bullock naked.exe
• sandra bullock nude.exe
• sarah michelle gellar naked.exe
• sarah michelle gellar nude.exe
• serials2003.exe
• shakira a-sf--ked.exe
• shakira anal.exe
• shakira naked.exe
• shakira nude.exe
• shakira paparazzi collection.exe
• Soldier of Fortune 2 CD1 ISO.exe
• Soldier of Fortune 2 CD2 ISO.exe
• Sound Forge XP Studio + Serial.exe
• Space Empires IV 4 Gold iso.exe
• Spiderman SVCD CD1.exe
• Spiderman SVCD CD2.exe
• Spiderman SVCD CD3.exe
• Sub7 masterpwd.exe
• subseven.exe
• tripod cracker.exe
• tripod hacker.exe
• VB6.exe
• VirtuaSex.exe
• visio.exe
• wc3 keygen.exe
• win2k pass decryptor.exe
• Win2k reboot exploit.exe
• win2k serial.exe
• Winamp.exe
• Windows 98 crack.exe
• Windows 98 keygen.exe
• Windows Keygen allver.exe
• Windows ME crack.exe
• Windows ME keygen.exe
• Windows NT crack.exe
• Windows NT keygen.exe
• Windows XP crack.exe
• Windows XP keygen.exe
• winxp crack.exe
• winxp cracker.exe
• winxp hacker.exe
• WinXP Keygen.exe
• winxphack.exe
• Winzip Pass Cracker.exe
• Word Pass Cracker.exe
• worldbook.exe
• xbox emulator beta.exe
• XP Box emulator.exe
• XP DVD Plugin.exe
• XP keygen.exe
• XP ScreenSaver.exe
• XP.exe
• yahoo cracker.exe
• yahoo hacker.exe
• Yahoo mail cracker.exe

W32/Blaxe-A a Windows\Kernell\ mappát megosztja, és ezáltal bármely fájlmegosztó rendszeren keresztül (KaZaA, Grokster és iMesh P2P hálózatok) a Kernell, ill a regisztrációs adatbázis elérhetővé válik. Különösen azért, mert a féreg az utóbbiba a következő bejegyzéseket teszi:

HKCU\Software\Kazaa\LocalContent\dir0 = 012345:C:\WINDOWS\kernell

HKCU\Software\Grokster\LocalContent\dir0 = 012345:C:\WINDOWS\kernell

HKCU\Software\iMesh\Client\LocalContent\dir1 = 012345:C:\WINDOWS\kernell

HKCU\Software\iMesh\Client\LocalContent\dir2 = 012345:C:\WINDOWS\kernell

W32/Blaxe-A "természetesen" bemásolja magát a KaZaA, KaZaA Lite, BearShare, Grokster és Morfeusz osztozott mappákba, ahol, mint "tartalék futtatható fájl pihen". (vírusleírások: Sophos Antivirus )

Ha valaki megtisztelt azzal, hogy elolvasta mindezt, neki nem kell magyaráznom talán merész hasonlatomat. Ettől függetlenül fenntartom, de nem csak hasonlatként, hanem lehetőségként, megoldásként is. Mindössze egy kis számolást kell végezni: mekkora károkat okoztak az RPC -DCOM protokoll hibái + mennyibe került javításuk + mekkora kárt okoz a jelenlegi hiba + mekkora várható még = egyetlen kérdés maradt: megéri így hibákat elhárítani?