BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Net-Worm.Win32.IISWorm

Sınıf Net-Worm
Platform Win32
Açıklama

Teknik detaylar

Bu, İnternet Bilgi Sunucularını (ISS) enfekte ederek Web sitelerini hedefleyen ilk bilinen solucudur. Solucan, kendi EXE dosyasını göndererek ve çalıştırarak bir Web sitesinden diğer Web sitelerine yayılma yöntemini gerçekleştirir. Solucan dosyasının adı sabit – IISWORM.EXE.

Solucan sadece yüklü bir IIS paketi ve Web sitesi içeriği olan makineleri bozar. Bu tür bir makinede çalıştırılan solucan uygulaması uzak Web sitelerini bulur ve kurar (yüklü IIS paketine sahip uzak makineler): bunları girer ve bir numara kullanarak kopyasını oraya gönderir ve o kopyayı oraya taşır. Sonuç olarak, solucan şu anda virüs bulaşmış makineden erişilebilen tüm Web sunucularına bulaşır ve diğer virüslü sunucular solucan kopyasını daha fazla yayır vs.

Benzer bir enfeksiyon yolu, ABD ağlarını 1988'de geri getiren ünlü “Morris virüsü” (“İnternet solucanı”) tarafından kullanıldı. Bu solucan binlerce bin makineye bulaştı ve gönderilen sınırsız kopya nedeniyle birçok ağı felce uğrattı. Neyse ki, "IISWorm" öldürücü bir hatadır ve bu hikayeyi tekrar edemez. Solucan kopyasını ilk IIS makinesine yayabiliyor gibi görünse de, kendini daha fazla yaymaya çalışmaz.

Solucan kodu sadece yayılma rutini içerir, tetikleyici olmayanlar. Solucan hiçbir şekilde kendini göstermez.

ayrıntılar

Solucan kendisi, Borland C ++ 'da yazılan yaklaşık 80 K uzunluğunda bir Win32 uygulamasıdır. Standart bir Windows uygulaması olarak yürütülür, bir bağlantı açar ve kendisini yaymak için bir HTTP paket biçimi kullanır.

Kurban sunucularını bulmak için solucan INetpub dizinlerindeki tüm * .HTM * dosyalarındaki Web sitesi adreslerini arar:

wwwroot
www kökü
inetpubwwwroot
inetpubwww kökü
websharewwwroot

Web sitesi adreslerini kullanarak, kurtçuk onları birbirine bağlar ve oraya bir bomba paketi gönderir. Bu paket, IIS yazılımındaki bir güvenlik açığından yararlanır – paket, verileri uzak bir IIS'deki bir veri arabelleği ile çakışacak şekilde oluşturulur ve paketin bir bloğu (uzak bir IIS'de) kod olarak yürütülür. Bu kod parçası, "ana" makineye bir bağlantı açar, solucanın (IISWORM.EXE dosyası) tam kopyasını alır, bir diskte oluşturur ve genişletir. Sonuç olarak, uzak IIS makinesi enfekte ve solucan içinde aktif ve yayılmaya devam ediyor.

Laboratuvardaki testler sırasında, solucanın yayılmasını önleyen solucan kodunda bazı hatalar vardı. Solucan ayrıca IIS ve WinNT ServicePack sürümlerine bağlı gibi görünüyor.


Orijinaline link