Hauptgruppierung: Malware
Schädliche Tools sind bösartige Programme, die automatisch Viren, Würmer oder Trojaner erstellen, DoS-Angriffe auf Remote-Server durchführen, andere Computer hacken usw. Im Gegensatz zu Viren, Würmern und Trojanern stellt Malware in dieser Unterklasse keine direkte Bedrohung für den Computer dar Es läuft auf, und die bösartige Nutzlast des Programms wird nur auf die direkte Bestellung des Benutzers geliefert.Mehr Informationen
Kategorie: Exploit
Exploits sind Programme, die Daten oder ausführbaren Code enthalten, die eine oder mehrere Sicherheitslücken in Software ausnutzen, die auf einem lokalen oder Remote-Computer für eindeutig bösartige Zwecke ausgeführt wird.Häufig verwenden böswillige Benutzer einen Exploit, um in einen Opfercomputer einzudringen, um anschließend bösartigen Code zu installieren (beispielsweise um alle Besucher einer kompromittierten Website mit einem bösartigen Programm zu infizieren). Außerdem werden Exploits häufig von Net-Worms verwendet, um einen Opfercomputer zu hacken, ohne dass der Benutzer etwas unternehmen muss.
Nuker-Programme sind unter Exploits bemerkenswert; Solche Programme senden speziell gestaltete Anfragen an lokale oder entfernte Computer, wodurch das System zum Absturz gebracht wird.
Mehr Informationen
Plattform: IIS
No platform descriptionBeschreibung
Technische Details
Beavuh ist ein Malware-Exploit der so genannten MS IIS ".printer" Schwachstelle, die von Microsoft im "Security Bulletin MS01-23", veröffentlicht am 1. Mai 2001, beschrieben wird.
Das Sicherheitsbulletin MS01-23 kann am folgenden Speicherort angezeigt werden:
www.microsoft.com/technet/security/bulletin/ms01-023.asp
Dieses Exploit-Programm ermöglicht den Remotezugriff auf eine einfache Windows NT-Befehlsshell auf dem Zielcomputer. Beavuh wurde kürzlich (am 2. März 2002) bei einer großen Anzahl von Hackerangriffen gemeldet.
Das Exploit-Programm hat folgende Parameter:
Der Remote-Exploit-Code wird auf dem Zielcomputer ausgeführt, wenn die IIS-Schwachstelle zuvor nicht gepatcht wurde. Der Code ist verschlüsselt, so dass er zunächst selbst entschlüsselt und dann den Systemspeicher für die Windows NT-Bibliothek ("kernel32.dll") durchsucht. Von dort wird es den 'Offset' der 'GetProcAddress'-Funktion erhalten und wird es weiter verwenden, um ein paar andere API-Adressen zu erhalten, sowohl von "kernel32.dll" als auch von "wsock32.dll".
Next Beavuh verbindet sich mit der vom Angreifer angegebenen Adresse, startet die ausführbare Datei "cmd.exe" und verknüpft die Eingabe und Ausgabe der Befehlsshell mit dem Socket, der für die Steuermaschine des Angreifers geöffnet ist.
Empfehlungen
Aufgrund der Verbreitung dieses Exploits empfehlen wir Systemadministratoren so schnell wie möglich alle anfälligen IIS-Server zu patchen. Darüber hinaus bietet die Installation des KL ISAPI AV-Filters eine generische Methode zur Blockierung von IIS-Pufferüberlauf-Exploits, einschließlich dieser. Für weitere Details, überprüfen Sie bitte:
www.kasperskey.com/support.html?chapter=47
Mehr erfahren
Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Sicherheitslücken statistics.securelist.com