Új féreg fenyegeti a felhasználókat

Geza Papp, 2004. június 3. 21:36
Kaspersky Labs észlelt egy potenciálisan mindenkire veszélyes új internetetférget, mely az I-Worm.Plexus.a nevet kapta.
A féreg három módon terjed: fertőzött e-mail csatolt állományaként, az MS Windows LSASS MS03-026 és RPC DCOM MS04-011 sebezhetőségen keresztül, és a helyi (LAN) ill. a fájlmegosztó, fájlcserélő hálózatokon.

A kód részletes elemzése igazolta, hogy a vírusíró "alkotása alapjának" a Mydoom forráskódját használt fel. A féreg egyik jellemzője, hogy megpróbálja megakadályozni a Kaspersky Anti-Vírus adatbázis automatikus frissítését.

A Plexus.a helyi hálózatokon (LAN) és fájlmegosztó, fájlcserélő hálózatokon terjed "igen ötletesen". A fájlcserélő alkalmazásokon keresett vagy sokakat érdeklő alkalmazásokat ajánl fel letöltésre - melyek természetesen a férget tartalmazzák.

Ilyenek pl.:

AVP5.xcrack.exe
hx00def.exe
ICQBomber.exe
InternetOptimizer1.05b.exe
Shrek_2.exe
UnNukeit9xNTICQ04noimageCrk.exe
YahooDBMails.exe

Fertőz az MS Windows LSASS hiba kihasználásával, melyet először a Sasser tett, és az RPC DCOM rés kihasználásával, melynek történelmi múltja 2003 augusztusára nyúlik vissza, a Lovesan fertőzés hullámra. Hihetetlen, de a Plexus.a talált és fertőzött meg olyan rendszereket, melyeken még ezek a hibák megtalálhatók, mert azok észlelése és a javítófoltok kibocsátása óta nem javították ki a folt installálásával azokat. Nem vagyok senkinek a rosszakarója, de az ilyen felhasználók a fertőzést meg is érdemlik...

A Plexus.a e-mail fertőzése öt féle eddig ismert levéllel történhet. Ezeknél más a fejrész, más a levéltest, más a csatolt állományok kiterjesztése:

htm
html
php
tbb
txt.

Csak egy jellegzetes azonos, a fertőző állomány - mely egy MS Visual C++ -ben írt fájl -, mérete: FSG tömörítésben 16208 byte, tömörítetlen állapotban 57856 byte.

A levelek a következők lehetnek a mai ismeretek szerint:

1.

Fejrész:
RE: order

Levélszöveg:
Hi. Here is the archive with those information, you asked me.
And don't forget, it is strongly confidencial!!! Seya, man. P.S. Don't forget my fee ;)

Csatolt állomány:
SecUNCE.exe

2.

Fejrész:
For you

Levélszöveg:
Hi, my darling :) Look at my new screensaver. I hope you will enjoy... Your Liza

Csatolt állomány:
AtlantI.exe

3.

Fejrész:
Hi, Mike

Levélszöveg:
My friend gave me this account generator for http://www.pantyola.com I wanna share it with you :) And please do not distribute it. It's private.

Csatolt állomány:
Agen1.03.exe

4.

Fejrész:
Good offer

Levélszöveg:
Greets! I offer you full base of accounts with passwords of mail server yahoo.com. Here is archive with small part of it. You can see that all information is real. If you want to buy full base, please reply me...

Csatolt állomány:
demo.exe

5.

Fejrész:
RE:

Levélszöveg:
Hi, Nick. In this archive you can find all those things, you asked me. See you. Steve

Csatolt állomány:
release.exe

Fertőzéskor Plexus.a bemásolja magát a Windows\System32 be upu.exe néven. A féreg, hogy biztosítsa futását, aktiválását minden rendszerindításkor, minden gép-rebootnál, a registry autorun kulcsába az alábbi bejegyzést teszi:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvClipRsv"=[path to the executable file - a futtatható féregkódra mutató útvonal]

A féreg létrehoz egy "identifier 'Expletus' -t" ("hasonmást") a rendszerben, azzal a szándékkal, hogy csak egy féregmásolat fusson a fertőzött gépen. Végül Plexus.a elküldi másolatait e-mailben mindarra a címre, melyet a gép merevlemezeiről gyűjtött össze.

Plexus.a két fontos tulajdonsággal bír:

Az elsőt már említettük, ez azokat a gépeket fenyegeti, melyeken Kaspersky Anti-Vírus rendszer fut, mert megakadályozza az adatbázis automatikus frissítését az alábbi módszerrel: újracímezi azokat a hostokat - átírja nem létező elektronikus címre azoknak a vírusadatbázisoknak a(z elektronikus) címét -, ahonnan a frissítés történhet a "host fájlt" (címet tartalmazó) mappában, a Windows\System32\drivers\etc\hosts a következő nem létező adatokra, címekre (mindegyik a fertőzött saját gépre irányul) mutat:

127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads-eu1.kaspersky-labs.com
127.0.0.1 downloads-us1.kaspersky-labs.com

ezért a felhasználónak kell letölteni az új adatbázist - ha a frissítés elmaradását észreveszi.

A második egy backdoor trójai - hátsóajtó-trójai - tulajdonság, ami szerte a világon minden rendszert fenyeget: a féreg kinyitja a TCP 1250 portot, amely egyrészt egy útvonal kezdeteként szerepelhet, hogy az áldozat gépéről bármilyen állományt feltöltsenek távoli gépekre, másrészt egy olyan út "kapuja lehet", melyen keresztül a rendszer bárki által támadhatóvá válik.

Aki gyanítja, hogy a gépe megfertőződött, a védelmi rendszer automatikus frissítése leállt, azonnal frissítse rendszerét a legújabb adatbázis letöltése segítségével.

Részletek a Kaspersky Lab's vírus enciklopédiájában: (http://www.viruslist.com/eng/viruslist.html?id=1618235)

Kérem, nézzék meg, hogy a vírusvédelmi rendszerük automatikus frissítése működik-e. Amennyiben nem, akkor manuálisan, a legfrissebb adatbázis letöltésével frissítsék azt, de oly módon, hogy az adatbázis-állományt közvetlenül a keresőjük weblapjáról töltsék le. Utána nézzék meg a regisrtryt, hogy a fertőzésre jellemző átírást megtalálják-e. Ha nem, akkor sem dolgoztak hiába. Akik eddig, tavaly augusztus óta nem frissítették gépüket - ne is tegyék - nekik mindegy, ha eddig az volt...

Vírusmentes napot!

Geza Papp
Networksecurity and Virusanalyst
Kulcsszavak: vírus Kaspersky Lab

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Gépek is rajthoz állnak a most induló Országos IT Megmérettetésen

2024. október 28. 18:06

Megnyitott a Vatera Galéria, a válogatott műtárgyak új platformja

2024. október 22. 15:25

Egy év alatt 45 milliárd forintot loptak el tőlünk a digitális bűnözők

2024. október 15. 16:51

Idén már ezernél is több résztvevőt várnak a Service Design Day-re

2024. október 7. 09:59