親クラス: Malware
悪意のあるツールとは、ウイルス、ワーム、トロイの木馬を自動的に作成し、リモートサーバーでDoS攻撃を行い、他のコンピュータをハッキングするように設計された悪意のあるプログラムです。このサブクラスのマルウェアはコンピュータに直接的な脅威を与えませんそれは実行され、プログラムの悪意のあるペイロードは、ユーザーの直接注文でのみ配信されます。クラス: Exploit
エクスプロイトとは、悪意のある目的のためにローカルコンピュータまたはリモートコンピュータ上で実行されているソフトウェアの1つまたは複数の脆弱性を利用するデータまたは実行可能コードを含むプログラムです。多くの場合、悪意のあるユーザーは、悪意のあるコードをインストールするために(たとえば、悪意のあるプログラムを使用して侵害されたWebサイトにすべての訪問者を感染させるために)被害者のコンピュータに侵入するための攻撃を利用します。さらに、悪意のあるコンピューティングは、ユーザから何も要求されずに被害者のコンピュータをハックするためにNet-Wormsによって一般に使用されます。 Nukerのプログラムは悪用のなかでも注目に値する。そのようなプログラムは特別に細工された要求をローカルまたはリモートのコンピュータに送信し、システムがクラッシュする原因となります。プラットフォーム: IIS
No platform description説明
技術的な詳細
Beavuhは2001年5月1日にリリースされたMicrosoftの "Security Bulletin MS01-23"に記述されている、いわゆるMS IISの ".printer"脆弱性のマルウェアです。
MS01-23 Security Bulletinは、次の場所で確認できます。
www.microsoft.com/technet/security/bulletin/ms01-023.asp
このエクスプロイトプログラムは、ターゲットマシン上のシンプルなWindows NTコマンドシェルへのリモートアクセスを提供します。 Beavuhは最近(2002年3月2日に)多数のハッキング試行で使用されたと報告されました。
エクスプロイトプログラムには、次のパラメータがあります。
以前にIISの脆弱性が修正されていない場合、リモートの攻撃コードがターゲットマシン上で実行されます。コードは暗号化されているため、まず自身の解読を進めると、Windows NTライブラリ( "kernel32.dll")のシステムメモリがスキャンされます。そこから「GetProcAddress」関数の「オフセット」を取得し、さらにそれを使用して、「kernel32.dll」と「wsock32.dll」の両方から2つの他のAPIアドレスを取得します。
次に、Beavuhは攻撃者が指定したアドレスに接続し、実行可能ファイル "cmd.exe"を起動し、コマンドシェルの入出力を攻撃者の制御マシンにオープンしたソケットにリンクします。
推奨事項
この脆弱性のため、システム管理者は、脆弱なIISサーバーにできるだけ早くパッチを適用することをお勧めします。また、KL ISAPI AVフィルタをインストールすると、これを含むIISバッファオーバーフロー攻撃をブロックする一般的な手段が提供されます。詳細については、次を確認してください:
www.kasperskey.com/support.html?chapter=47
も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com