Kaspersky Threats

Kategorie

Plattform

Beschreibung

Technische Details

Beavuh ist ein Malware-Exploit der so genannten MS IIS ".printer" Schwachstelle, die von Microsoft im "Security Bulletin MS01-23", veröffentlicht am 1. Mai 2001, beschrieben wird.

Das Sicherheitsbulletin MS01-23 kann am folgenden Speicherort angezeigt werden:

www.microsoft.com/technet/security/bulletin/ms01-023.asp

Dieses Exploit-Programm ermöglicht den Remotezugriff auf eine einfache Windows NT-Befehlsshell auf dem Zielcomputer. Beavuh wurde kürzlich (am 2. März 2002) bei einer großen Anzahl von Hackerangriffen gemeldet.

Das Exploit-Programm hat folgende Parameter:

eine Ziel-IP-Adresse

eine Zielportnummer

eine IP-Adresse / einen IP-Port, an den sich der ausnutzende Code mit der Befehlsshell verbindet.

Der Remote-Exploit-Code wird auf dem Zielcomputer ausgeführt, wenn die IIS-Schwachstelle zuvor nicht gepatcht wurde. Der Code ist verschlüsselt, so dass er zunächst selbst entschlüsselt und dann den Systemspeicher für die Windows NT-Bibliothek ("kernel32.dll") durchsucht. Von dort wird es den 'Offset' der 'GetProcAddress'-Funktion erhalten und wird es weiter verwenden, um ein paar andere API-Adressen zu erhalten, sowohl von "kernel32.dll" als auch von "wsock32.dll".

Next Beavuh verbindet sich mit der vom Angreifer angegebenen Adresse, startet die ausführbare Datei "cmd.exe" und verknüpft die Eingabe und Ausgabe der Befehlsshell mit dem Socket, der für die Steuermaschine des Angreifers geöffnet ist.

Empfehlungen
Aufgrund der Verbreitung dieses Exploits empfehlen wir Systemadministratoren so schnell wie möglich alle anfälligen IIS-Server zu patchen. Darüber hinaus bietet die Installation des KL ISAPI AV-Filters eine generische Methode zur Blockierung von IIS-Pufferüberlauf-Exploits, einschließlich dieser. Für weitere Details, überprüfen Sie bitte:

www.kasperskey.com/support.html?chapter=47

Link zum Original

Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Kategorie	Exploit
Plattform	IIS
Beschreibung	Technische Details Beavuh ist ein Malware-Exploit der so genannten MS IIS ".printer" Schwachstelle, die von Microsoft im "Security Bulletin MS01-23", veröffentlicht am 1. Mai 2001, beschrieben wird. Das Sicherheitsbulletin MS01-23 kann am folgenden Speicherort angezeigt werden: www.microsoft.com/technet/security/bulletin/ms01-023.asp Dieses Exploit-Programm ermöglicht den Remotezugriff auf eine einfache Windows NT-Befehlsshell auf dem Zielcomputer. Beavuh wurde kürzlich (am 2. März 2002) bei einer großen Anzahl von Hackerangriffen gemeldet. Das Exploit-Programm hat folgende Parameter: eine Ziel-IP-Adresse eine Zielportnummer eine IP-Adresse / einen IP-Port, an den sich der ausnutzende Code mit der Befehlsshell verbindet. Der Remote-Exploit-Code wird auf dem Zielcomputer ausgeführt, wenn die IIS-Schwachstelle zuvor nicht gepatcht wurde. Der Code ist verschlüsselt, so dass er zunächst selbst entschlüsselt und dann den Systemspeicher für die Windows NT-Bibliothek ("kernel32.dll") durchsucht. Von dort wird es den 'Offset' der 'GetProcAddress'-Funktion erhalten und wird es weiter verwenden, um ein paar andere API-Adressen zu erhalten, sowohl von "kernel32.dll" als auch von "wsock32.dll". Next Beavuh verbindet sich mit der vom Angreifer angegebenen Adresse, startet die ausführbare Datei "cmd.exe" und verknüpft die Eingabe und Ausgabe der Befehlsshell mit dem Socket, der für die Steuermaschine des Angreifers geöffnet ist. Empfehlungen Aufgrund der Verbreitung dieses Exploits empfehlen wir Systemadministratoren so schnell wie möglich alle anfälligen IIS-Server zu patchen. Darüber hinaus bietet die Installation des KL ISAPI AV-Filters eine generische Methode zur Blockierung von IIS-Pufferüberlauf-Exploits, einschließlich dieser. Für weitere Details, überprüfen Sie bitte: www.kasperskey.com/support.html?chapter=47
	Link zum Original
	Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Exploit.IIS.Beavuh

Technische Details