Classe pour les parents: Malware
Les outils malveillants sont des programmes malveillants conçus pour créer automatiquement des virus, des vers ou des chevaux de Troie, attaquer DoS sur des serveurs distants, hacker d'autres ordinateurs, etc. Contrairement aux virus, vers et chevaux de Troie, les malwares ne constituent pas une menace directe pour l'ordinateur. il fonctionne, et la charge utile malveillante du programme est seulement fournie sur l'ordre direct de l'utilisateur.Plus d'informations
Classe: Exploit
Exploits sont des programmes qui contiennent des données ou un code exécutable qui tirent parti d'une ou de plusieurs vulnérabilités dans un logiciel exécuté sur un ordinateur local ou distant à des fins clairement malveillantes. Souvent, les utilisateurs malveillants utilisent un exploit pour pénétrer un ordinateur victime afin d'installer ensuite du code malveillant (par exemple, pour infecter tous les visiteurs d'un site Web compromis avec un programme malveillant). En outre, les exploits sont couramment utilisés par Net-Worms afin de pirater un ordinateur victime sans qu'aucune action ne soit requise de la part de l'utilisateur. Les programmes de Nuker sont notables parmi les exploits; ces programmes envoient des requêtes spécialement conçues à des ordinateurs locaux ou distants, entraînant le blocage du système.Plus d'informations
Plateforme: IIS
No platform descriptionDescription
Détails techniques
Beavuh est un exploit de malware de la vulnérabilité MS-IIS ".printer", décrite par Microsoft dans le "Security Bulletin MS01-23", publié le 1er mai 2001.
Le bulletin de sécurité MS01-23 peut être consulté à l'emplacement suivant:
www.microsoft.com/technet/security/bulletin/ms01-023.asp
Ce programme d'exploit donne un accès distant à un simple shell de commande Windows NT sur la machine cible. Beavuh a été récemment rapporté (le 2 mars 2002) avoir été utilisé dans un grand nombre de tentatives de piratage.
Le programme exploit a les paramètres suivants:
Le code d'exploitation à distance est exécuté sur la machine cible si la vulnérabilité IIS n'a pas été corrigée précédemment. Le code est crypté afin qu'il procède d'abord à se décrypter, puis il analysera la mémoire système pour la bibliothèque Windows NT ("kernel32.dll"). De là, il va acquérir le 'offset' de la fonction 'GetProcAddress' et l'utilisera davantage pour obtenir quelques autres adresses d'API, à la fois de "kernel32.dll" et "wsock32.dll".
Beavuh se connecte ensuite à l'adresse spécifiée par l'attaquant, lance l'exécutable "cmd.exe" et relie l'entrée et la sortie du shell de commande au socket ouvert sur la machine de contrôle de l'attaquant.
Recommandations
En raison de la prévalence de cet exploit, nous recommandons aux administrateurs système de corriger tous les serveurs IIS vulnérables dès que possible. En outre, l'installation du filtre AV KL ISAPI fournit un moyen générique de bloquer les exploits de débordement de buffer IIS, y compris celui-ci. Pour plus de détails, veuillez vérifier:
www.kasperskey.com/support.html?chapter=47
En savoir plus
Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com