Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Первый вирус-червь, пытающийся распространяться через Web-сервера поражая
установленное на них управляющее программное обеспечение — Internet
Information Servers (IIS). Червь реализует метод распространения от одного
Web-сервера к другим серверам передавая на сервера свой EXE-файл и запуская
его там. Имя файла-червя всегда постоянно — IISWORM.EXE.

Червь поражает сервера только при условии установленнй на них системы IIS и
при наличии стандартных файлов Web-сервера. При запуске на зараженном
сервере червь ищет на ней ссылки на другие Web-сервера, пересылает на них
свою копию и при помощи программного трюка запускает ее на выполнение на
заражаемом сервере. В результате червь заражает все сервера, на которые
есть ссылки с текущего сервера; вновь зараженные сервера передают копию
червя дальше — и т.п.

Похожий метод заражения был применен в знаменитом «Черве Морриса» (или
«Интернет-черве») в 1988 году. Тогда этот червь заразил несколько тысяч
серверов в США и практически парализовал работу многих сетей, постоянно
передавая свои копии на все доступные сервера. К счастью, червь «IISWorm»
содержит серьезные ошибки и не в состоянии стать причиной аналогичного
инцидента. Червь, скорее всего, сможет заразить один сервер, но по причине
ошибки не сможет передать себя дальше.

Код червя содержит только процедуры размножения и не содерджит никаких
проявлений — работа червя остается абсолютно незаметной.

Детали

Червь является Win32-приложением размером около 80Kb. Написан на Borland
C++. При запуске открывает сетевое соединение и использует формат HTTP для
своего распространения.

Для того, чтобы получить адреса других Web-серверов червь сканирует файлы
*.HTM* в каталогах INetpub:

wwwroot
www root
inetpubwwwroot
inetpubwww root
websharewwwroot

По полученным адресам червь устанавливает соединение с Web-серверами и
посылает на них запрос-«бомбу». Этот запрос-«бомба» использует ошибку в
программном обеспечении IIS, в результате чего часть запроса обрабатывается
сервером как код. В данной части «бомбы» червь хранит процедуру, которая
устанавливает соединение с «хозяином», принимает от него файл-червь
IISWORM.EXE и запускает его на выполнение. Червь активизируется и повторяет
процесс своего распространения.

Анализ червя в тестовой сети показал, что червь содержит летальные ошибки и
неспособен к массовому распространению. Способности червя к заражению
удаленных серверов также зависят от установленных там версий IIS и WinNT
ServicePack.

Узнай статистику распространения угроз в твоем регионе

Класс	Net-Worm
Платформа	Win32
Описание	Technical Details Первый вирус-червь, пытающийся распространяться через Web-сервера поражая установленное на них управляющее программное обеспечение — Internet Information Servers (IIS). Червь реализует метод распространения от одного Web-сервера к другим серверам передавая на сервера свой EXE-файл и запуская его там. Имя файла-червя всегда постоянно — IISWORM.EXE. Червь поражает сервера только при условии установленнй на них системы IIS и при наличии стандартных файлов Web-сервера. При запуске на зараженном сервере червь ищет на ней ссылки на другие Web-сервера, пересылает на них свою копию и при помощи программного трюка запускает ее на выполнение на заражаемом сервере. В результате червь заражает все сервера, на которые есть ссылки с текущего сервера; вновь зараженные сервера передают копию червя дальше — и т.п. Похожий метод заражения был применен в знаменитом «Черве Морриса» (или «Интернет-черве») в 1988 году. Тогда этот червь заразил несколько тысяч серверов в США и практически парализовал работу многих сетей, постоянно передавая свои копии на все доступные сервера. К счастью, червь «IISWorm» содержит серьезные ошибки и не в состоянии стать причиной аналогичного инцидента. Червь, скорее всего, сможет заразить один сервер, но по причине ошибки не сможет передать себя дальше. Код червя содержит только процедуры размножения и не содерджит никаких проявлений — работа червя остается абсолютно незаметной. Детали Червь является Win32-приложением размером около 80Kb. Написан на Borland C++. При запуске открывает сетевое соединение и использует формат HTTP для своего распространения. Для того, чтобы получить адреса других Web-серверов червь сканирует файлы .HTM в каталогах INetpub: wwwroot www root inetpubwwwroot inetpubwww root websharewwwroot По полученным адресам червь устанавливает соединение с Web-серверами и посылает на них запрос-«бомбу». Этот запрос-«бомба» использует ошибку в программном обеспечении IIS, в результате чего часть запроса обрабатывается сервером как код. В данной части «бомбы» червь хранит процедуру, которая устанавливает соединение с «хозяином», принимает от него файл-червь IISWORM.EXE и запускает его на выполнение. Червь активизируется и повторяет процесс своего распространения. Анализ червя в тестовой сети показал, что червь содержит летальные ошибки и неспособен к массовому распространению. Способности червя к заражению удаленных серверов также зависят от установленных там версий IIS и WinNT ServicePack.
	Узнай статистику распространения угроз в твоем регионе

Net-Worm.Win32.IISWorm

Technical Details

Детали