DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Net-Worm.Win32.BlueCode

Kategorie Net-Worm
Plattform Win32
Beschreibung

Technische Details

Dies ist ein Internetwurm, der Websites durch Infizierung von Internet Information Servern (ISS) anvisiert. Der Wurm verbreitet diese Methode der Verbreitung von einer Website zu einer anderen, indem er seine EXE-Datei sendet und ausführt.

Der Name der Dateien des Wurms ist konsistent – SVCHOST.EXE und HTTPEXT.DLL. Die EXE-Datei ist eine Win32-Anwendung (PE EXE-Datei) etwa 29 KB, und es ist in Microsoft C ++ geschrieben. Dort wurde auch eine komprimierte Variante entdeckt, die etwa 14K groß ist. Die DLL-Datei ist etwa 47 KB groß und in Microsoft C ++ geschrieben.

Beachten Sie, dass der Wurm standardmäßige Win32-EXE-Dateinamen verwendet. SVCHOST.EXE und HTTPEXT.DLL können in Standard-Windows 2000-Installationen im Unterordner SYSTEM32 gefunden werden.

Der Wurm infiziert nur Computer, die mit dem Inhalt des IIS-Pakets und der Website installiert wurden. Wenn die Wurm-Anwendung auf einem solchen Computer ausgeführt wird, lokalisiert sie entfernte Websites (Remote-Computer mit installiertem IIS-Paket) und infiziert sie: Sie trägt sie ein und sendet mithilfe eines Web Directory Traversal-Exploits ihre Kopie dorthin und erstellt diese Kopie. Als Folge infiziert der Wurm alle vlunerablen Webserver, auf die von einem aktuellen infizierten Computer aus zugegriffen werden kann, und andere infizierte Server verbreiten die Wurmkopie weiter und so weiter.

Der Wurm verfügt über eine Payload-Routine, die von 10.00 bis 11.00 Uhr globaler Zeit einen DoS-Angriff (Deny of Service) auf dem Webserver http://www.nsfocus.com ausführt.

Installieren

Der Wurm erstellt seine Kopien (EXE und DLL) im Stammverzeichnis von C: Laufwerk – C: SVCHOST.EXE und C: HTTPEXT.DLL. Diese EXE-Datei wird dann im Registrierungsschlüssel auto-run registriert:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Domänenmanager = C: svchost.exe

Der Wurm erstellt und wechselt dann eine C: D.VBS-Skriptdatei, sucht dann nach der Anwendung INETINFO.EXE und beendet sie, wenn sie aktiv ist. Das VBS-Skriptprogramm sucht auch nach Indexdienst, Indizierungsabfrage und Druckerzuordnung und entfernt sie.

Als Ergebnis deaktiviert der Wurm Sicherheitslücken, die von anderen Würmern benutzt werden können (oder wurden), um die Maschine und / oder Hacker zu infizieren, um die Web-Sicherheits-Schutzmechanismen zu durchbrechen.

Verbreitung

Um sich weiter auszubreiten, führt der Wurm 100 Threads aus, die zufällig ausgewählte IP-Adressen durchsuchen und sie angreifen.

In 50% der Fälle befinden sich die angegriffenen Maschinen im selben Netzwerk und die angegriffenen IP-Adressen lauten "aa.bb. ??. ??", wobei "aa.bb" Teil der IP-Adresse der infizierten Maschine ist und "??" sind zufällig.

In den anderen 50% der Fälle sind die angegriffenen Adressen sehr zufällig.

Um einen Opfercomputer anzugreifen, verwendet der Wurm das Web Directory-Traversal-Exploit dreimal:

  1. es versucht, das IIS-Verzeichnis auf einem Remotecomputer zu ermitteln,
  2. sendet dann eine Anfrage an die entfernte Maschine, um die DLL-Komponente des Virus (HTTPEXT.DLL-Datei) von der infizierten Maschine herunterzuladen,
  3. Die letzte Anforderung besteht darin, diese DLL-Datei in das Verzeichnis C: root zu kopieren.

Um eine DLL-Datei auf einen Opfercomputer hochzuladen, verwendet der Wurm einen "tftp" -Befehl und aktiviert den temporären TFTP-Server auf einem infizierten (aktuellen) Computer, um einen "get data" -Befehl vom Opfer (entfernten) Computer zu verarbeiten.

Wenn eine DLL-Datei auf den Opfercomputer hochgeladen wird, wird sie durch einen Trick aktiviert. Die Wurmkopie wird also auf einem Remote-Server gestartet. Anschließend wird die EXE-Komponente gelöscht und ausgeführt, die den Virus infrer verbreitet.


Link zum Original