ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Net-Worm.Win32.IISWorm

Classe Net-Worm
Plataforma Win32
Descrição

Detalhes técnicos

Este é o primeiro worm conhecido que tem como alvo Web sites, infectando os ISS (Internet Information Servers). O worm percebe seu método de se espalhar de um site para outro, enviando e executando seu arquivo EXE. O nome do arquivo worm é constante – IISWORM.EXE.

O worm infecta apenas máquinas com um pacote IIS instalado e conteúdo do site. O aplicativo worm que está sendo executado em uma máquina desse tipo localiza e infecta sites remotos (máquinas remotas com o pacote IIS instalado): ele os insere e, usando um truque, envia sua cópia para lá e gera essa cópia lá. Como resultado, o worm infecta todos os servidores da Web que podem ser acessados ​​da máquina atualmente infectada, e outros servidores infectados espalham a cópia do worm ainda mais etc.

Uma forma semelhante de infecção foi usada pelo famoso "vírus Morris" (também conhecido como "worm Internet") que atingiu as redes dos EUA em 1988. Esse vírus infectou vários milhares de máquinas e paralisou muitas redes por causa de cópias ilimitadas enviadas. Felizmente, o "IISWorm" tem um erro letal e não pode repetir essa história. O worm parece conseguir espalhar sua cópia para a primeira máquina do IIS, mas não consegue se espalhar ainda mais.

O código do worm contém apenas rotinas de propagação, não as rotineiras. O verme não se manifesta de forma alguma.

Detalhes

O worm em si é um aplicativo Win32 com cerca de 80K de comprimento, escrito em Borland C ++. Ele é executado como um aplicativo padrão do Windows, abre uma conexão e usa um formato de pacotes HTTP para se espalhar.

Para localizar servidores de vítimas, o worm procura endereços de sites em todos os arquivos * .HTM * nos diretórios INetpub:

wwwroot
www raiz
inetpubwwwroot
raiz inetpubwww
websharewwwroot

Ao usar endereços de sites, o worm os conecta e envia um pacote de bombas para lá. Este pacote explora uma vulnerabilidade no software IIS – o pacote é construído de forma que seus dados se sobreponham a um buffer de dados em um IIS remoto, e um bloco do pacote é executado como código lá (em um IIS remoto). Esse trecho de código abre uma conexão com sua máquina "principal", obtém a cópia completa do worm (o arquivo IISWORM.EXE), cria em um disco e gera. Como resultado, a máquina do IIS remoto está infectada e o worm está ativo e continua se espalhando.

Durante os testes no laboratório, houve alguns erros encontrados no código do worm que impedem que o worm se espalhe. O worm também parece depender das versões do IIS e do WinNT ServicePack.


Link para o original