Net-Worm.Win32.IISWorm

Класс Net-Worm
Платформа Win32
Описание

Technical Details

Первый вирус-червь, пытающийся распространяться через Web-сервера поражая
установленное на них управляющее программное обеспечение — Internet
Information Servers (IIS). Червь реализует метод распространения от одного
Web-сервера к другим серверам передавая на сервера свой EXE-файл и запуская
его там. Имя файла-червя всегда постоянно — IISWORM.EXE.

Червь поражает сервера только при условии установленнй на них системы IIS и
при наличии стандартных файлов Web-сервера. При запуске на зараженном
сервере червь ищет на ней ссылки на другие Web-сервера, пересылает на них
свою копию и при помощи программного трюка запускает ее на выполнение на
заражаемом сервере. В результате червь заражает все сервера, на которые
есть ссылки с текущего сервера; вновь зараженные сервера передают копию
червя дальше — и т.п.

Похожий метод заражения был применен в знаменитом «Черве Морриса» (или
«Интернет-черве») в 1988 году. Тогда этот червь заразил несколько тысяч
серверов в США и практически парализовал работу многих сетей, постоянно
передавая свои копии на все доступные сервера. К счастью, червь «IISWorm»
содержит серьезные ошибки и не в состоянии стать причиной аналогичного
инцидента. Червь, скорее всего, сможет заразить один сервер, но по причине
ошибки не сможет передать себя дальше.

Код червя содержит только процедуры размножения и не содерджит никаких
проявлений — работа червя остается абсолютно незаметной.

Детали

Червь является Win32-приложением размером около 80Kb. Написан на Borland
C++. При запуске открывает сетевое соединение и использует формат HTTP для
своего распространения.

Для того, чтобы получить адреса других Web-серверов червь сканирует файлы
*.HTM* в каталогах INetpub:

wwwroot
www root
inetpubwwwroot
inetpubwww root
websharewwwroot

По полученным адресам червь устанавливает соединение с Web-серверами и
посылает на них запрос-«бомбу». Этот запрос-«бомба» использует ошибку в
программном обеспечении IIS, в результате чего часть запроса обрабатывается
сервером как код. В данной части «бомбы» червь хранит процедуру, которая
устанавливает соединение с «хозяином», принимает от него файл-червь
IISWORM.EXE и запускает его на выполнение. Червь активизируется и повторяет
процесс своего распространения.

Анализ червя в тестовой сети показал, что червь содержит летальные ошибки и
неспособен к массовому распространению. Способности червя к заражению
удаленных серверов также зависят от установленных там версий IIS и WinNT
ServicePack.