Meddig foltozható egy rendszer?

forrás Prim Online, 2003. szeptember 17. 22:38

A vírusírók az esetek nagy részében akkor „alkotnak" igazán „komoly dolgot", ha ismertté válik egy rendszerhiba, egy sérülékenység, biztonsági rés. A kórokozók ezt használják ki különböző formában. A rendszerírók előtte vagy ekkor „megírják javításaikat, amikkel a réseket be lehet foltozni" - de meddig?
Nagyapáink - bár nem egy edény volt a konyhában - rákényszerültek, hogy a hibásakat megjavíttassák, megfoltoztassák. Ez ment egy ideig, de eljött az a pont, amikor az edényből a víz a folt mellett is folyt. Megfoltoztathatták volna ismét - de jött egy ésszerű számvetés: minél rosszabb lesz, annál többet kell költeni a foltozásra, ami előreláthatóan nem javítja ki a hibát. Sok folt kellene ahhoz, hogy az edény ne eresszen, és ez sokba kerül. Többe, mint egy új edény. A gondolkodás logikus, a használhatatlan edényt a többi közül kidobták, és vettek egy újat, ami sok évig garantáltan nem lyukadt ki. Valahogy ezt kellene szem előtt tartani a hibás, foltozott rendszer elemek esetében is, nem kockáztatni az egész rendszer biztonságát.

Miért írtam mindezt: néhány sor olvasása után kiderül, de a kérdéses sorok előtti ismertetők is tartalmaznak újdonságokat napjaink vírusairól, olyanokat, amiket ismerve egyszerűbben védhetjük meg rendszerünket, konfigurálhatjuk tűzfalunkat a vírusadatbázis-frissítés mellett.

***

WM97/Simuleek-C

Más név: Macro.Word97.Omni, W97M.Radnet, W97M_BUHAY, W97M/Simuleek

Fajta: Word 97 makróvírus

Leírás:

WM97/Simuleek-C makróvírus, mely egy VBS scriptet is "letesz" fertőzésekor, melyet a víruskeresők VBS/Simuleek-C-t észlelnek.

VBS/Simuleek-C a WIN.INI-be jegyez be egy parancssort, ami biztosítja, hogy minden Windows-indításkor a vírusprogram is aktiválódik, "futni kezd". Igen kellemetlen tulajdonsága, hogy a Word környezetet többször is meg tudja fertőzni, tehát ismételt vírusfertőzést újrafertőzés követ.

Eléggé nehezen "kódolható egyszerű agyunkkal", de a Simuleek-C megkísérli a talált szövegekben - ha előfordul - a "Ranuya" szót helyettesíteni "John"-nal.

***

W32/Sluter-B

Más név: W32.Randex.F

Fajta: Win32 féreg

A Sophos számtalan jelzést kapott a "vadonból" a féreg aktivitásáról.

Leírás:

W32/Sluter-B elsősorban gyenge, könnyen dekódolható jelszavakkal védett megosztott hálózatokon terjed. Fertőzéskor a féreg bemásolja magát netd32.exe néven a Windows mappába. A regisztrációs adatbázisba - hogy futása állandóan biztosított legyen - az alábbi bejegyzéseket írja a megfelelő kulcsokhoz:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

Microsoft Network Daemon Win32 = netd32.exe

és

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

Microsoft Network Daemon Win32 = netd32.exe

Ezenkívül a W32/Sluter-B képes arra, hogy pontosan úgy viselkedjen, mint egy IRC hátsóajtó-féreg, és a megnyitott résen, porton korlátlan lehetősége van minden távoli betolakodónak a fertőzött rendszerbe hatolni.

***
W32/Slanper-A

Más név: W32/Slanper.féreg, Win32/HLLW.Rejase.A

Fajta: Win32 féreg

A Sophos Anti-Vírus számtalan jelzést kapott a "vadonból" a féreg aktivitásáról.

Megjegyezés: A Sophos 2003. jún. 27. (GMT 16:51) óta észleli a vírust, de miután az analízis változásokat mutatott, szükséges ismét felhívni rá a figyelmet, és a változás alapján módosítani az adatbázist.

Leírás:

W32/Slanper-A internetféreg, aminek a célja az SMB/Windows megosztott portot birtokba venni, használni. Mindent Windows host esetében ez az SMB-vel megosztott portként működik. Itt kell megjegyezni, hogy SMB részletek vagy ahhoz hasonlóak találhatók a Unix, ill. más operációs rendszereken is. A féreg rendszerint msmsgri3.exe néven "érkezik". A fertőzés utáni első futásakor is a háttérben fut, és a regisztrációs adatbázis kódjaiban is olyan változásokat tesz, melyek ezt biztosítják:

HKLM/Szoftver/Microsoft/Windowsok/CurrentVersion/Run/mssyslanhelper

bejegyzés tartalmazza a féreg útvonalát.

W32/Slanper-A véletlenszerűen generált listát, melyek IP listának felelnek meg. A saját maga által generált lista létező IP-it megpróbálja összekötni, és a 445-ös porton keresztül ily módon terjedni. A sok más féregtől eltérően viselkedő W32/Slanper-A féreg analizálásakor feltűnt, hogy van egy hátsóajtó (backdoor) függvény is benne.

Miért írtam, hogy érdekes, szokatlan: a féregnek van egy másodlagos összetevője, ami kiszabadulva önálló fertőzésre képes féregfajta lesz. Ez az összetevő payload.dat fájlnéven található abban a mappában, ahol a féreg is. A payload.dat kódja aktiválódik, és futni kezd, a regisztrációs adatbázist az alábbiakban módosítja:

HKLM/Szoftver/Microsoft/Windowsok/CurrentVersion/Run/System Initialization

mindez biztosítja azt a lehetőséget, hogy amennyiben sikerült, a 445-ös port megszerzése után, azt használva, fenntartsa e kapcsolatát, úgy, hogy a féreg mindezek hátterében fut.

***

Azt hiszem hogy a következő féreg ismertetése előtt meg kell állni egy rövid időre: A Windows RPC-DCOM csomagkezelési hiba észlelése után idővel, kihasználva azt megjelent először a Troj/Autoroot-A, közben észlelték az Internet Explorer és az Outlook Express hibáit, leírásuk a Windows tudásbázis MS01-015, MS02-014, MS02-15-ben található, ill a javító patch az MS03-14 mellékleteként. A hibát használta ki a Mimail, amiről a szeptemberi Vírus Bulletin lapjain Szappanos Gábor, a VírusBuster munkatársa írt szenzációs elemzést. Majd "jött a Blaster-A", ill a Lovesan. Ez kellett ahhoz, hogy a meglévő foltot mindenki feltegye a rendszerére. De ennek elmaradása - a felhasználói felelőtlenség miatt - hatalmas endémiákat okozott. Bár aki felrakta a javításokat (úgy vélte), megnyugodhat. (Áprilisban a böngésző és a levelező két Cumulative Patch, ill. júliusban az PRC-DCOM Cumulative Patch - revizió augusztusban).

Tehát nyugodtak lehettünk egy ideig, míg ki nem derült, hogy ismétlődik a történelem: hiba van a Windows rendszerekben. „A biztonsági réseket az RPCSS Service-ban fedezték fel (az úgynevezett Distributed Component Object Model (DCOM) felületében); egy rosszul definiált üzenet nem megfelelő kezeléséből származnak. A három új sérülékenységből kettő lehetővé teszi, hogy a támadó kódot futtathasson a nyitott rendszeren, a harmadik pedig DoS-támadásra használható fel. Kiaknázásukkal a behatoló bármit megtehet (helyi rendszerprivilégiummal): programot telepíthet, ellenőrizhet, adatokat nézhet/változtathat meg vagy törölhet le, és akár új accountokat is létrehozhat a rendszerben." (terminal.hu).

Hát igen - kilyukadt a folt... Nem baj, foltozzuk meg - sürgős javítás, újabb javítás, és annyi folt került a Windows csomagkezelő alkalmazására, hogy "már nem is látszik". Vagy mégis - a Blastertől egy valamit megtanulhattunk: DCOM összetevő az alábbi portokon támadható: TCP/IP port 69/UDP, 135/TCP, 135/UDP, 139/TCP, 139/UDP, 445/TCP, 445/UDP, 593/TCP, 1086/TCP, 4444/TCP. Melyik portot "nézte ki" magának?, a 445-ös portot.

Az PRC -DCOM protokoll esetében intranetes környezetben a kommunikáció a 135-ös porton történik: "Ha az RPC protokollnak a TCP/IP protokollon keresztüli üzenetváltást kezelő részében biztonsági rés található - kimondható, hogy a hiba a helytelenül formázott üzenetek nem megfelelő kezeléséből ered. Ez a bizonyos biztonsági rés az elosztott komponensobjektum-modell (Distributed Component Object Model, DCOM) és az RPC közötti illesztő felületet érinti, amely a 135-ös TCP/IP portot figyeli. A felület az ügyfélszámítógépek által a kiszolgálónak küldött DCOM-objektum aktiválási kéréseket kezeli (például univerzális elnevezési konvenció [UNC] szerinti elérési utak). A hiba kihasználásához a támadónak speciálisan formázott kérést kell küldenie a távoli számítógépnek a 135-ös porton. Intranetes környezetben ez a port általában elérhető, az internethez csatlakozó számítógépeknél azonban a 135-ös portot rendszerint blokkolja a tűzfal."

Ez eddig rendben is van - de ne feledkezzünk meg, hogy a 445 TCP, UDP port is hasonlóan sérülékeny pontja a protokollnak.

Az „ismételt" hiba felfedezésekor néhány igen komoly szaktekintély részben magánlevélben, részben nyilatkozatban felvetette, hogy az előzőhöz, a Blasterhez hasonlóan, itt is a hiba felfedése után kb. 2 héttel vérhatóak a "komolyabb, intelligensebb" vírusok, várható egy hibán alapuló vírusinvázió. Előfordulhat, hogy a W32/Slanper-A a várható invázió előfutára lenne?

***

Troj/JSurf-B

Fajta: Trójai

Leírás:

Troj/JSurf-B HTML formátumú e-mail részeként terjed, elvileg a Cumulative Internet Explorer of Patch (MS03-032) megerősítette a hibát, védetté tette a gépeket.

Ha mégsem védené meg, vagy ha nem installálták a javítást, arra az esetre: amit a féregről tudni kell:

A HTML e-mail tartalmaz egy címet, egy "Object Data"-t. Olyan távoli objektét, amin egy VBS script fut. A fertőzés esetén a gépre jut egy .exe fájl, a rendszermeghajtóra, SFBAR.EXE néven. Ennek "segítségével" a távoli weblapról a Troj/JSurf-B letölt egy DLL-t: C:\Program Files\win32.dll. Ha mindez sikerül, akkor mint regsvr32.exe futhat a vírus a rendszeren. Azt hiszem, hogy a következményeket kár taglalni.

***

W32/Blaxe-A

Más nevek: Worm.P2P.Blaxe, Win32/Lablan.A, W32.HLLW.Blaxe, WORM_BLAXE.A

Meghatározás: Win32 féreg

Leírás:

W32/Blaxe-A minden elérhető, "nyitott" P2P megosztott hálózaton képes terjedni. Fertőzéskor, mikor a W32/Blaxe-A bemásolja magát a Windows mappába, BearShare.exe és WinBat.exe neveken, a következő változásokat idézi elő futása érdekében a rendszerleíró adatbázisban:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\BearShare

= WindowsBearShare.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\BearShare

= Windows\BearShare.exe

W32/Blaxe-A hozzáadja az útvonalát (ha van) a WinBat.exe-hez, illetve a regisztrációs adatbázishoz, hogy MS-DOS rendszeren is futhasson.

HKLM\Software\CLASSES\batfile\shell\open\command

W32/Blaxe-A a Kernellbe másolja magát különféle neveken.

  • (Adult porn sex nude illegal gangbang) Website Password Cracker.exe
  • A+ Certification Ultimate Study Guide.exe
  • ACDSee 4.1 cracked.exe
  • Adobe 6 crack.exe
  • Adobe 6 full (iso).exe
  • Adobe 6.0 crack.exe
  • Adobe 6.0 full.exe
  • Adobe 6.0.exe
  • Adobe crack.exe
  • Adobe Photoshop 6 Ultimate Study Guide.exe
  • Adobe Photoshop 6.0.exe
  • Adobe Photoshop.exe
  • Adult movie.exe
  • adult(hardcore sex movie xxx)movie.exe
  • AdvZip Recovery.exe
  • AIM hacker.exe
  • AIM Pass stealer.exe
  • aim.exe
  • aimcracker.exe
  • aimhacker.exe
  • All Cliff notes (cliff's).exe
  • AMI BIOS Cracker.exe
  • anarchistcookbook.exe
  • anastasia anal.exe
  • anastasia naked.exe
  • anastasia nude.exe
  • Anonymous email.exe
  • ANSI C Ultimate Study Guide.exe
  • antistudy.exe
  • AOL Hacker.exe
  • aol.exe
  • Autocad 2002 Crack.exe
  • BabylonX Backdoor.exe
  • BabylonX password cracker.exe
  • Bandwidth Booster 4.2 for Cable.exe
  • BlackICE Defender.exe
  • Borland C++ Builder 8.0 iso.exe
  • Britney Spears anal movie.exe
  • Britney Spears Blowjob movie.exe
  • Britney Spears hardcore xx movie.exe
  • Britney Spears in bath (movie).exe
  • Britney Spears naked.exe
  • Britney Spears Nipple slip.exe
  • Britney Spears nude wallpaper.exe
  • BRUTAL FORCED PRETEEN ANAL SEX.exe
  • buttman.exe
  • C++ Ultimate Study Guide.exe
  • Cable Modem Anonymizer.exe
  • Cable Uncapper.exe
  • catherine zeta jones anal.exe
  • catherine zeta jones naked.exe
  • catherine zeta jones nude.exe
  • Christina Aguilera adult movie.exe
  • Christina Aguilera having sex(mov).exe
  • Christina Aguilera movie.exe
  • Christina Aguilera nude wallpaper (xxx lesbian).exe
  • Christina Aguilera sucks cock.exe
  • CloneCD Crack (all versions).exe
  • CloneCD Keygen.exe
  • CloneCD.exe
  • College Biology Ultimate Study Guide.exe
  • College Chemistry Ultimate Study Guide.exe
  • College Computer Engineering Ultimate Study Guide.exe
  • College Computer Science Ultimate Study Guide.exe
  • College English Ultimate Study Guide.exe
  • College Ethics Ultimate Study Guide.exe
  • College History Ultimate Study Guide.exe
  • College Philosophy Ultimate Study Guide.exe
  • Command and Conquer cnc c&c Generals iso.exe
  • Command and Conquer cnc c&c Renegade iso.exe
  • Conceal PC Firewall.exe
  • Copy (11) of ZoneAlarm Firewall Pro.exe
  • Copy of ZoneAlarm Firewall Pro.exe
  • Counter Strike CD Keygen.exe
  • counter-strike.exe
  • Crack XBOX live.exe
  • Credit Card number generator VERIFIER (cc cc#).exe
  • Dark Planet Battle For Natrolis cracked.exe
  • Delphi 5 Keygen.exe
  • Delphi 6 Keygen.exe
  • Delphi Ultimate Study Guide.exe
  • delphi.exe
  • Digimon.exe
  • DivX Codec 4.0 (codec only).exe
  • DivX Codec 5.0 (codec only).exe
  • DivX Codec 6.0 beta (codec only).exe
  • divx fix.exe
  • divx pro.exe
  • divx repair.exe
  • DoS Attacker.exe
  • Dreamcast Emulator.exe
  • driver.exe
  • DSL Anonymizer.exe
  • DSL Uncapper.exe
  • Easy CD Creator crack (all versions) (core).exe
  • edonkey serverlist.exe
  • Emailbomber.exe
  • End Of Twilight iso.exe
  • ESPN NFL Primetime 2002 iso.exe
  • ftp cracker.exe
  • ftp hacker.exe
  • fuck.exe
  • Gamecube Emulator.exe
  • Ghost Recon - Desert Siege.exe
  • Girls gone wild collection - sex porn nudity hardcore (self-extractor).exe
  • GTA 2 crack noCD.exe
  • GTA Vice City crack noCD.exe
  • GTA Vice City crack.exe
  • gta3.exe
  • hack aim.exe
  • Hack hotmail.exe
  • hacker utils 2002.exe
  • hacking tools 2002.exe
  • Half life Cd keygen.exe
  • happybirthday.exe
  • Hooligans iso.exe
  • host faker.exe
  • host spoofer.exe
  • HotGirls.exe
  • hotmail account sniffer.exe
  • hotmail hack.exe
  • hotmail hacker.exe
  • hotmailcracker.exe
  • hotmailhacker.exe
  • HOWTO Crack XBOX live.txt.exe
  • ICQ AIM Password stealer.exe
  • ICQ hack.exe
  • ICQ Hackingtools.exe
  • icqcracker.exe
  • icqhacker.exe
  • ident faker.exe
  • ident spoofer.exe
  • IIS shellbind exploit.exe
  • Incoming Forces iso.exe
  • invisible IP.exe
  • ip faker.exe
  • ip spoofer.exe
  • IRC hacker.exe
  • Kate Winslet adult movie.exe
  • Kazaa Advertisement Ad remover.exe
  • kazaa.exe
  • keygen all.exe
  • Keylogger v1.0.exe
  • kmd151 en.exe
  • learn how to hack.exe
  • linux root.exe
  • Linux rootaccess.exe
  • linux.exe
  • Macromedia Flash 5 Ultimate Study Guide.exe
  • Macromedia Flash 5.exe
  • Max Payne full iso.exe
  • Max Payne Multiplayer Addon.exe
  • MCSE Ultimate Study Guide.exe
  • Microsoft Office XP Upgrade (from older versions).exe
  • Microsoft Visual C++ 7.0 iso.exe
  • Might and Magic 1 crack.exe
  • Might and Magic 2 crack.exe
  • Might and Magic 3 crack.exe
  • Might and Magic 4 crack.exe
  • Might and Magic 5 crack.exe
  • Might and Magic 6 crack.exe
  • Might and Magic 7 crack.exe
  • Might and Magic 8 crack.exe
  • Might and Magic 9 crack.exe
  • Mirc 6.4.exe
  • mIRC backdoor hack.exe
  • Monsterville cracked.exe
  • MSN banner remover.exe
  • MSN hacker.exe
  • msn IP finder.exe
  • msncracker.exe
  • msnhacker.exe
  • Nero 5.5 Crack.exe
  • Nero Burning Rom 5 cracked.exe
  • Nero Burning Rom 5.5 Crack.exe
  • Nikki Cox nude.exe
  • Nikki cox Playboy session.exe
  • Nikki Cox sex movie.exe
  • Norton AntiVirus 2002.exe
  • Norton Internet Security 2002.exe
  • Norton Systemworks 2002.exe
  • Norton Utilities 2002.exe
  • Notron Utilities 2002.exe
  • Office key Gen.exe
  • Office XP Corporate Ed. iso.exe
  • Office XP crack.exe
  • Office Xp keygen.exe
  • OfficeXP Keygen.exe
  • Oni 2nd second edition.exe
  • Pamela Anderson adult movie.exe
  • pamela anderson anal.exe
  • Pamela Anderson and Tommy Lee hardcore holiday movie.exe
  • Pamela Anderson deepthroat.exe
  • Pamela Anderson gets fucked.exe
  • pamela anderson naked.exe
  • pamela anderson nude.exe
  • pamela anderson.exe
  • Perl Ultimate Study Guide.exe
  • PHP4 Ultimate Study Guide.exe
  • Playboy nude wallpaper.exe
  • Playstation 2 PS2 Emulator.exe
  • Pokemon.exe
  • porn account cracker.exe
  • porn account hacker.exe
  • PS1 BootCD.exe
  • PS2 BootCD.exe
  • PS2 emulator bleem.exe
  • Quake 3 cracked (works on all servers).exe
  • Quake 4 leaked beta (cracked).exe
  • Quicken Pro 2002 iso.exe
  • Ray Crisis iso.exe
  • Return to the Castle Wolfenstein iso.exe
  • sandra bullock naked.exe
  • sandra bullock nude.exe
  • sarah michelle gellar naked.exe
  • sarah michelle gellar nude.exe
  • serials2003.exe
  • shakira a-sf--ked.exe
  • shakira anal.exe
  • shakira naked.exe
  • shakira nude.exe
  • shakira paparazzi collection.exe
  • Soldier of Fortune 2 CD1 ISO.exe
  • Soldier of Fortune 2 CD2 ISO.exe
  • Sound Forge XP Studio + Serial.exe
  • Space Empires IV 4 Gold iso.exe
  • Spiderman SVCD CD1.exe
  • Spiderman SVCD CD2.exe
  • Spiderman SVCD CD3.exe
  • Sub7 masterpwd.exe
  • subseven.exe
  • tripod cracker.exe
  • tripod hacker.exe
  • VB6.exe
  • VirtuaSex.exe
  • visio.exe
  • wc3 keygen.exe
  • win2k pass decryptor.exe
  • Win2k reboot exploit.exe
  • win2k serial.exe
  • Winamp.exe
  • Windows 98 crack.exe
  • Windows 98 keygen.exe
  • Windows Keygen allver.exe
  • Windows ME crack.exe
  • Windows ME keygen.exe
  • Windows NT crack.exe
  • Windows NT keygen.exe
  • Windows XP crack.exe
  • Windows XP keygen.exe
  • winxp crack.exe
  • winxp cracker.exe
  • winxp hacker.exe
  • WinXP Keygen.exe
  • winxphack.exe
  • Winzip Pass Cracker.exe
  • Word Pass Cracker.exe
  • worldbook.exe
  • xbox emulator beta.exe
  • XP Box emulator.exe
  • XP DVD Plugin.exe
  • XP keygen.exe
  • XP ScreenSaver.exe
  • XP.exe
  • yahoo cracker.exe
  • yahoo hacker.exe
  • Yahoo mail cracker.exe

W32/Blaxe-A a Windows\Kernell\ mappát megosztja, és ezáltal bármely fájlmegosztó rendszeren keresztül (KaZaA, Grokster és iMesh P2P hálózatok) a Kernell, ill a regisztrációs adatbázis elérhetővé válik. Különösen azért, mert a féreg az utóbbiba a következő bejegyzéseket teszi:

HKCU\Software\Kazaa\LocalContent\dir0 = 012345:C:\WINDOWS\kernell

HKCU\Software\Grokster\LocalContent\dir0 = 012345:C:\WINDOWS\kernell

HKCU\Software\iMesh\Client\LocalContent\dir1 = 012345:C:\WINDOWS\kernell

HKCU\Software\iMesh\Client\LocalContent\dir2 = 012345:C:\WINDOWS\kernell

W32/Blaxe-A "természetesen" bemásolja magát a KaZaA, KaZaA Lite, BearShare, Grokster és Morfeusz osztozott mappákba, ahol, mint "tartalék futtatható fájl pihen". (vírusleírások: Sophos Antivirus )

Ha valaki megtisztelt azzal, hogy elolvasta mindezt, neki nem kell magyaráznom talán merész hasonlatomat. Ettől függetlenül fenntartom, de nem csak hasonlatként, hanem lehetőségként, megoldásként is. Mindössze egy kis számolást kell végezni: mekkora károkat okoztak az RPC -DCOM protokoll hibái + mennyibe került javításuk + mekkora kárt okoz a jelenlegi hiba + mekkora várható még = egyetlen kérdés maradt: megéri így hibákat elhárítani?

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Gépek is rajthoz állnak a most induló Országos IT Megmérettetésen

2024. október 28. 18:06

Megnyitott a Vatera Galéria, a válogatott műtárgyak új platformja

2024. október 22. 15:25

Egy év alatt 45 milliárd forintot loptak el tőlünk a digitális bűnözők

2024. október 15. 16:51

Idén már ezernél is több résztvevőt várnak a Service Design Day-re

2024. október 7. 09:59