Classe principal: Malware
Ferramentas maliciosas são programas mal-intencionados criados para criar vírus, worms ou cavalos de Tróia automaticamente, realizar ataques DoS em servidores remotos, hackear outros computadores etc. Ao contrário de vírus, worms e cavalos de Tróia, os malwares dessa subclasse não representam uma ameaça direta ao computador. ele é executado e a carga maliciosa do programa é entregue apenas na ordem direta do usuário.Classe: Exploit
Explorações são programas que contêm dados ou códigos executáveis que se aproveitam de uma ou mais vulnerabilidades em softwares executados em um computador local ou remoto para propósitos claramente maliciosos. Freqüentemente, os usuários mal-intencionados utilizam uma exploração para penetrar no computador da vítima, a fim de instalar código malicioso (por exemplo, para infectar todos os visitantes de um site comprometido com um programa malicioso). Além disso, os exploits são comumente usados por Net-Worms para hackear um computador da vítima sem que seja necessária nenhuma ação do usuário. Os programas Nuker são notáveis entre os exploits; esses programas enviam solicitações especialmente criadas para computadores locais ou remotos, causando a falha do sistema.Plataforma: IIS
No platform descriptionDescrição
Detalhes técnicos
O Beavuh é uma exploração de malware da chamada vulnerabilidade ".printer" do MS IIS, descrita pela Microsoft no "Security Bulletin MS01-23", lançado em 1º de maio de 2001.
O boletim de segurança MS01-23 pode ser visto no seguinte local:
www.microsoft.com/technet/security/bulletin/ms01-023.asp
Este programa de exploração fornece acesso remoto a um simples shell de comando do Windows NT na máquina de destino. Beavuh foi recentemente informado (em 2 de março de 2002) de ter sido usado em um grande número de tentativas de hackers.
O programa de exploração possui os seguintes parâmetros:
O código de exploração remota é executado na máquina de destino se a vulnerabilidade do IIS não tiver sido corrigida anteriormente. O código é criptografado para que ele primeiro continue a descriptografar a si mesmo e, em seguida, verificará a memória do sistema para a biblioteca do Windows NT ("kernel32.dll"). A partir daí, ele adquirirá o 'deslocamento' da função 'GetProcAddress' e o utilizará para obter alguns outros endereços de API, tanto de "kernel32.dll" quanto de "wsock32.dll".
Em seguida, Beavuh se conecta ao endereço especificado pelo invasor, inicia o executável "cmd.exe" e vincula a entrada e a saída do shell de comando ao soquete aberto na máquina de controle do invasor.
Recomendações
Devido à prevalência dessa vulnerabilidade, recomendamos que os administradores de sistemas consertem os servidores IIS vulneráveis assim que possível. Além disso, a instalação do filtro KL ISAPI AV fornece um meio genérico de bloquear explorações de estouro de buffer do IIS, incluindo este. Para mais detalhes, por favor verifique:
www.kasperskey.com/support.html?chapter=47
Saiba mais
Descubra as estatísticas das vulnerabilidades que se espalham em sua região statistics.securelist.com