Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

Net-Worm.Win32.BlueCode

Třída Net-Worm
Platfoma Win32
Popis

Technické údaje

Jedná se o internetový červ, který cílí na webové stránky infikováním Internetových informačních serverů (ISS). Červ zasahuje tuto metodu šíření z jednoho webu na jiný odesláním a spuštěním jeho souboru EXE.

Název souborů červa je konzistentní – SVCHOST.EXE a HTTPEXT.DLL. Soubor EXE je aplikace Win32 (soubor PEE EXE) o délce 29 kB a je napsán v aplikaci Microsoft C ++. Tam také byla objevena komprimovaná varianta, která má velikost asi 14K. Soubor DLL má velikost přibližně 47 kB a je napsán v aplikaci Microsoft C ++.

Všimněte si, že červ používá standardní názvy souborů Win32 EXE. SVCHOST.EXE a HTTPEXT.DLL lze nalézt ve standardních instalacích Win2000 v podsložce SYSTEM32.

Červ infikuje pouze počítače nainstalované s balíčkem služby IIS a obsahem webu. Aplikace červa, která je spuštěna na takovém počítači, vyhledá a infikuje vzdálené weby (vzdálené počítače s nainstalovaným IIS balíčkem): vstupuje do nich a pomocí WWW Traversal exploit posílá tam svou kopii a rozmnožuje tuto kopii. Výsledkem je, že červa infikuje všechny navzájem propustné webové servery, ze kterých lze přistupovat ze současného infikovaného počítače, a další infikované servery dále šíří kopii červa a podobně.

Červ má rutinu užitečného zatížení, která od 10:00 do 11:00 hodin globálního času provádí DoS útok (Deny of Service) na webovém serveru http://www.nsfocus.com.

Instalace

Červ vytváří své kopie (EXE a DLL) v kořenovém adresáři jednotky C: C: SVCHOST.EXE a C: HTTPEXT.DLL. Tento soubor EXE je registrován v klíči automatického spuštění registru:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Správce domény = C: svchost.exe

Červ potom vytvoří a vymění soubor skriptu C: D.VBS, poté vyhledá aplikaci INETINFO.EXE a ukončí ji, pokud je aktivní. Program skriptů VBS také vyhledává a odstraňuje indexační službu, dotazování indexování a mapování tiskárny.

Výsledkem je, že červ vypne bezpečnostní porušení, které mohou být použity (nebo byly použity) jinými červy k infekci stroje a / nebo hackerům, aby prolomili ochranu Web-security.

Šíření

Chcete-li se dále šířit, červa spouští 100 vláken, které skenují náhodně vybrané adresy IP a napadají je.

V 50% případů jsou napadené počítače ve stejné síti a napadené adresy IP jsou "aa.bb. ??? ??", kde "aa.bb" je součástí adresy IP infikovaného počítače a "??" jsou náhodné.

V dalších 50% případů jsou napadené adresy velmi náhodné.

Chcete-li napadnout počítač poškozený, použije Worm Web Directory Traversal třikrát:

  1. pokusí se určit adresář služby IIS na vzdáleném počítači,
  2. potom pošle vzdálenému počítači žádost o stažení součásti DLL souboru (HTTPEXT.DLL) z infikovaného souboru,
  3. poslední požadavek je zkopírovat tento soubor DLL do kořenového adresáře C:.

Chcete-li načíst soubor DLL na poškozený stroj, použije čep příkaz "tftp" a aktivuje dočasný server TFTP na infikovaném (aktuálním) počítači, aby zpracoval příkaz "get data" ze zařízení pro poškození (vzdálené).

Při nahrávání souboru DLL na poškozený stroj je aktivován trikem. Kópia červa tedy začíná na vzdáleném serveru a potom spadne a spustí složku EXE, která pak rozšiřuje virus viru.


Odkaz na originál