Szabo Gabor ----- Original Message ----- From: <[EMAIL PROTECTED]> To: <[EMAIL PROTECTED]> Sent: Thursday, August 07, 2003 1:22 PM Subject: [virushirado] Vírus Híradó hírlevél, #039. szám
> Vírus Híradó hírlevél, #039. szám > 2003. augusztus 07., csütörtök > > Tartalomjegyzék > --------------- > - Megjelent az első féreg, ami a Microsoft RPC hibát használja ki > - A Mimail féreg rendszergazdának álcázza magát > - Heti vírus statisztika > - Impresszum > > > > * * * Megjelent az első féreg, ami a Microsoft RPC hibát használja ki * * > * > > A "Worm.Win32.Autorooter" kártevő egy több komponensű Win32 féregszerű > csomag. Úgy tervezték, hogy a helyi és globális hálózatokon keresztül > terjedjen, de a féreg ismert verziójában a terjedési rutin még nincs > aktiválva. > > A kártevő a nevét a fő féregkomponensben található szövegről kapta: > > rpc autorooter by ERIC > RPC autorooter > > A terjedéshez a féreg az ismert Microsoft Windows sebezhetőséget használja > ki a DCOM RPC szolgáltatásban. Erről a biztonsági résről az alábbi > Microsoft Security Bulletin-ben olvashatunk bővebben: > www.microsoft.com MS03-026.asp > > A Csomag: > A csomag egy Win32 SFX ZIP (önkibontó) állomány, amely kb. 114KB méretű és > három fájlt tartalmaz: > > rpc.exe - 41KB, fő féregkomponens (az indítást végzi), > "Worm.Win32.Autorooter" > tftpd.exe - 144KB, "bolti" FTP szerver > rpctest.ex - 95KB, exploit, "Exploit.Win32.DCom" > > Ha az SFX állományt futtatjuk, az három fájlt csomagol ki a C: meghajtó > gyökérkönyvtárába és lefuttatja az "rpc.exe" fő komponenst. > > A fő komponens: "rpc.exe" > A fő komponens elindítja a "tftpd.exe"-t és megpróbál letölteni egy > "lolx.exe" nevű állományt egy távoli site-ról. A "lolx.exe" egy ismert > trójai hátsóajtó program "Backdoor.SdBot.gen". > > A féreg ezután távoli gépeket keres és megpróbál azokhoz kapcsolatot > létesíteni a 445-ös porton keresztül. Azokat az IP címeket (a.b.c.d) > amelyekkel próbálkozik, véletlenszerűen generálja a következő algoritmus > szerint: > > Az 'a' értékét az alábbi listából választja ki (mindegyiket használja): > 24, 12, 211, 217, 218, 220, 4, 68, 165, 65, 213, 64, 208, 128 > > A 'b' egy 0-tól 255-ig terjedő tartományból választott véletlenszám. 'c' > és 'd' értékként 1-től 255-ig minden számot végigpróbál. > > Például, ha 'a' 68 és 'b' 120, a féreg a 68.120.0.1 - 68.120.255.255 > tartományban fog keresni gépeket. > > A féreg, ezekben a szegmensekben kutat távoli gépek után, kapcsolódik a > megtalált gépekhez és elküldi azoknak az exploit kódot. Ahhoz, hogy az > exploit-ot átküldje, a "rpctest.exe" komponenst futtatja le. Ez az > összetevő egy puffer túlcsordulást okozó kérést küld, amely elindít egy > parancs shell-t az 57005-ös porton a sebezhető áldozat-számítógépen. > > Az "rpctest.exe" komponens: > Ez maga az exploit kód. A következő szöveg sztringet tartalmazza: > USE THE FORZ LUKE! > > A "tftd.exe" komponens: > Ez a hagyományos HaneWin TFTP szerver. A fő féreg komponens a 69-es portra > telepíti; ez a TFTP szerver tölti le a hátsóajtó komponenst. > > Megjegyzés: > Annak ellenére, hogy ez a fájl-csomag nem tartalmaz semmiféle automatikus > terjesztő funkciót, vegyük tekintetbe, hogy ez sokkal közelebb áll egy > féregszerű programhoz, minthogy egyszerűen egy hátsóajtó program vagy egy > hacker-eszköz legyen. Arra is gondolhatunk, hogy ez csak a tesztverziója > egy új féregnek, amely már elég funkciót tartalmaz egy lehetséges > önsokszorozásításhoz. Az is elképzelhető, hogy készítőjének az volt a > célja, hogy egy erősen szétszórt hálózatot állítson fel a feltört > számítógépekből valamimilyen későbbi hacker vagy vírustámadáshoz. > > Minden felhasználónak azt ajánljuk, hogy frissítse rendszerét a a fenti > Microsoft linken található javítással és ezen kívül blokkolja az Internet > felől a 135-ös, 139-es és 445-ös TCP portokat a helyi tűzfalon. > > > > * * * A Mimail féreg rendszergazdának álcázza magát * * * > > Az antivírus cégek egy új, Interneten terjedő e-mail vírusra > figyelmeztetnek: az I-Worm.Mimail úgy hamisítja meg a levél feladóját, > mintha a cégünk saját rendszergazdája küldte volna, ezáltal fontosnak > tünteti fel magát. > > Maga a vírus csatolt fájlként érkezik, a Windowsos (UPX-szel tömörített) > .exe fájl 12KB méretű. A fertőzött üzenet jellemzői: > > Feladó: [EMAIL PROTECTED] cím% > ahol a %hamis cím% a szervezet (amelyhez a vírus elküldte magát) > domainneve. > > Tárgy: your account %véletlenszerű szöveg% > > A levél törzsében egy arra utaló angol nyelvű figyelmeztetést találunk, > hogy az e-mail címünk hamarosan megszűnik, és bővebb információkat a > csatolt fájlban találunk. Természetesen semmi esetre se cselekedjünk a > levélben leírtaknak megfelelően, hiszen azzal a vírust indítanánk el! > > A message.zip nevű tömörített, csatolt fájl egy "message.html" nevű > html-oldalt tartalmaz, mely megnyitás után a "Downloaded Program Files" > mappába menti a foo.exe fájlt (ez maga a vírus), majd futtatja azt - ehhez > az Internet Explorer egyik azon sebezhetőségét használja ki, mellyel egy > Javascript minden előzetes figyelmeztetés nélkül férhet hozzá a > merevlemezen található fájlokhoz. > > Futás közben a vírus a Windows mappába másolja magát "videodrv.exe" néven. > A fájl automatikus futtatásáról az alábbi registry kulcs gondoskodik: > HKLM\Software\Microsoft\Windows\CurrentVersion\Run > VideoDriver = %WinDir%\videodrv.exe > > A féreg továbbá a következő fájlokat is létrehozza a Windows könyvtárában: > exe.tmp - a féreg HTML fájlban > zip.tmp - a HTML fájl tömörítve > eml.tmp - a fertőzött rendszeren talált e-mail címek listája > > A ZIP fájlok létrehozásához a vírus a saját tömörítő-rutinját használja. > > Az I-Worm.Mimail a saját SMTP motorját használja önmaga terjesztésére, > újabb áldozatok után pedig "Shell Folders" és "Program Files" mappákban > lévő fájlokban kutatva próbál e-mail címeket szerezni. > > Az eddigi megfigyelések arra utalnak, hogy a féreg véletlenszerűen spam > jellegű üzeneteket is küld, véletlenszerűen megválasztatott feladó és > címzett mezővel, illetve tartalommal. > > Terjedéséhez és a fertőzéshez az I-Worm.Mimail a social engineeringet > használja ki azáltal, hogy a gyanútlan felhasználók bedőlnek a saját cégük > rendszergazdájától érkező hamis üzenetnek. Amennyiben bővebben érdekli ez > a téma, kérjük olvassa el a lapunkon korábban megjelent Social > engineering: az emberi hiszékenység kihasználása című írást. > > > > > * * * * * Heti vírus statisztika * * * * * > > Heti TOP-20 lista a WWW.VIRUSLIST.COM adataiból > Feldolgozott időszak: 2003.08.01.-2003.08.07. > Készült: 2003.08.07. Csütörtök 09:00:05 > > Százalék Darab Vírusnév > ------------------------------------------------------------ > 17.20% 13563 Worm.Win32.Ladex > 8.35% 6582 I-Worm.Klez.a-h(KlezFamily) > 6.95% 5480 Win32.Parite > 5.38% 4245 TrojanProxy.Win32.Webber(aka Heloc) > 5.25% 4140 Win32.HLLP.Hantaner > 4.75% 3745 Worm.Win32.Opasoft(aka Opaserv) > 4.59% 3620 Trojan.Win32.Filecoder > 4.33% 3416 Andrey.932 > 4.26% 3362 Worm.P2P.Tanked > 4.21% 3321 33.525 > 4.20% 3312 Trojan.Java.Nocheat > 4.02% 3168 I-Worm.Tanatos.a(aka BugBear.a) > 3.56% 2809 I-Worm.Tanatos.b(aka Bugbear.b) > 3.56% 2805 AJfamily > 3.09% 2433 TrojanDownloader.Win32.Checkin > 2.40% 1891 I-Worm.Sobig.a > 1.95% 1541 Worm.P2P.Kazmor > 1.85% 1456 Worm.Win32.Autorooter > 1.79% 1415 I-Worm.Mimail > 1.78% 1401 Alho.676 > > > > * * * * * Impresszum * * * * * > > Üdvözlettel: > > Vírus Híradó Szerkesztőség > 2F 2000 Kft. > > Cím: 1016 Budapest, Hegyalja út 5. > E-mail: [EMAIL PROTECTED] > www.virushirado.hu > > A Vírus Híradó és a Vírus Riadó hírlevél listáinkra való fel- és > leiratkozást ezen az oldalon találja: > http://www.virushirado.hu/virh-hirlevel.php > > > Figyelem! > Ne felejtse, hogy az általunk küldött hírlevelek sosem tartalmaznak > csatolt file-okat, és mindig Text/Plain (egyszerű szöveges) formában > küldjük ki. Amennyiben mégis találkozna másféle hírlevéllel, értesítsen > minket az [EMAIL PROTECTED] címen. > > _______________________________________________ Akta mailing list [EMAIL PROTECTED] http://openforum.hu/mailman/listinfo/akta
