Sākumlapa » Bez kategorijas » Jaunā “CodeRed” modifikācija ar “trojieti” kabatā

Jaunā “CodeRed” modifikācija ar “trojieti” kabatā

“Kaspersky
Lab” ziņo par Internet tārpa “CodeRed” (“Bady”) jaunas
modifikācijas atklāšanu.

Atšķirībā
no divām citām tārpa versijām, “CodeRed.c”
inficētajā datorā uzstāda Trojas programmu, kura
vispārējai piekļūšanai atver C: un D: diskus. Papildus
sistēmu izvēlei uzbrukumam tārpā ir realizēta jauna
pieeja IP-adrešu izvēlei. Kā zināms, jau
pazīstamās tārpa modifikācijas šīs adreses
izvēlējās pilnīgi nejauši, tādēļ daudzi
tā mēģinājumi iekļūt citos datoros jau
iepriekš tika nolemti neveiksmei. Tagad šī metode tiek
pielietota tikai 1 no 8 gadījumiem. Pārējos gadījumos
mērķa datora IP-adrese bāzējās uz tā datora
IP-adresēm, no kura tiks veikts uzbrukums.

Salīdzinājumā
ar agrākajām versijām, “CodeRed.c” programmas kods aizņem
mazāk vietas un ir uzrakstīts ar plašām Assembler
programmēšanas valodas zināšanām. Šajā
versijā ir arī izlabota kļūda, kas pieļāva
vairāku tārpa aktīvo procesu esamību.

Konkrētā
“tārpa” modifikācija tāpat seko konkrētajam datumam un sākot
ar 2001. gada 1. oktobri (un jebkurā nākošajā dienā)
pārlādē datoru.

Jaunā
tārpa versija tāpat satur backdoor-komponentu ({backdoor:Backdoor}).

Šī
procedūra kopē standarta komandprocesoru Windows2000 CMD.EXE ar
nosaukumu ROOT.EXE divos standarta katalogos IIS-serveros:

inetpubscriptsroot.exe

progra~1common~1systemMSADCroot.exe

un
tāpat disku C: un D: pamatkatalogos rada un palaiž Trojas programmu ar
nosaukumu EXPLORER.EXE. Trojieša garums ir 8192 baitu.

Detalizēta
“CodeRed.c” koda analīze rāda, ka šī modifikācija
varētu būt citas hakeru grupas atbilde uz iepriekšējām
tārpa versijām. Atšķirībā no versijām “a” un
“b”, šeit galvenais ļaunums tiek nodarīts datoriem, kuros
pēc noklusējuma ir uzstādīta ķīniešu simbolu
tabula. Šajā gadījumā tārps, parasto 300 vietā,
palaiž 600 paralēlus izplatīšanās procesus, kas
ievērojami palielina inficētā servera slodzi. Tāpat datoros ar ķīniešu
simbolu tabulu, “CodeRed.c” ir iespēja izplatīties 48 stundas,
līdz datora izslēgšanai (atšķirībā no 24
stundām “neķīniešu” sistēmās).

Šī
modifikācija izmanto jaunu, uzlabotu, algoritmu IP
mērķadrešu meklēšanā mēģinājumam
tajās iekļūt. Konkrētais algoritms uzbrukumam izvēlas
tās adreses, kuras visvairāk izskatās pēc
inficētā datora, no kura tiek plānots izdarīt uzbrukumu, IP
adreses.

Vienā
no astoņiem gadījumiem uzbrukumam pakļautā datora IP adrese
būs vienkārši nejauša. Ja tārpa aktīvā
kopija atrodas adresē 192.a.b.c, tad 4 no 8 gadījumiem, tārps
mēģinās uzbrukt visām šī tīkla adresēm,
piemēram: 192.??.??.??, bet 3 gadījumos no 8 – tā paša
tīkla 192.xx.??.??.

Tādējādi,
datoriem 192.??.??.?? tīklā (kur ‘??’ ir jebkurš skaitlis
diapazonā no 0 līdz 255) ir lielākas iespējas tikt
pakļautiem tārpa uzbrukumiem, nekā jebkuriem citiem.

Šādam
mērķdatoru meklēšanas mehānismam ir vairāk
cerību uz panākumu, nekā “CodeRed.a” un “CodeRed.b”
pielietotajai meklēšanas gadījuma rakstura metodei.

Taču,
acīmredzot, nejaušo IP adrešu ģenerators satur
kļūdas, un dažām IP adresēm nekad netiks uzbrukts.

CodeRed II Trojas komponentes likvidēšanas instrukcija

1. Ielādēt un uzstādīt sekojošo Microsoft ielāpu:

http://www.microsoft.com/technet/security/bulletin/MS01-033.php

2. Sekojošā veidā izvākt no atmiņas trojieša procesu:

2.1 Vienlaicīgi nospiest CTRL-SHIFT-ESC, lai izsauktu “Uzdevumu menedžeri” (“Task manager”);

2.2 Izvēlēties ieliktni “Procesi” (“Processes”);

2.3 Saškirot ērtībai procesu sarakstus pēc vārda, lai to izdarītu, vajag uzklikšķinat uz virsraksta “Procesa nosaukums” (“Image Name”);

2.4 Uzdevumu sarakstā ir divi procesi ar nosaukumu Explorer.exe. Lai atšķirtu trojieša procesu, ir nepieciešams:

2.4.1 Izvēlnē “Skats” (“View”) izvēlēties punktu “Izvēlēties kolonnas…” (“Select column…”);

2.4.2 Pēc tam parādijušamies logā uzlikt ķeksīti “Plusmu skaititajs” (“Thread count”) un nospiest OK;

2.5 Parādījušamies papildus “Plūsmu” (“Thread”) kolonnā ir redzams ar katru procesu saistīto plūsmu daudzums. Trojieša procesam ar nosaukumu Explorer.exe ir tikai viena plūsma. Šo procesu arī vajag likvidēt. Lai to izdarītu:

2.6 Jāizvēlas šis process;

2.7 Jānospiež podziņa “Beigt procesu” (“End process”);

2.8 Jāatbild “Jā” (“Yes”) uz uzdoto jautājumu;

2.9 Jāaizver “Uzdevumu menedžera” (“Task Manager”) logs.

3. Jānovāc faili explorer.exe no disku C: un D: pamatkatalogiem, lai to izdarītu, ir nepieciesams izpildīt sekojošo:

3.1 Divreiz jāuzklikšķina uz ikoniņas “My computer”;

3.2 Divreiz jāuzklikšķina uz C: diska ikoniņas;

3.3 Ja fails explorer.exe nav redzams, tad jādara sekojošais:

3.3.1 Izvēlnē “Rīki” (“Tools”) izvēlēties punktu “Foldera īpašības” (“Folder options…”);

3.3.2 Izvēlēties ieliktni “Skats” (“View”);

3.3.3 Daļā “Papildus parametri” (“Advanced settings”) atrast un ieslēgt opciju “Parādīt slēptos failus un folderus” (“Show hidden files and folders”);

3.3.4 Atrast un atslēgt opciju “Slēpt aizsargātos sistēmas failus (ieteicams)” (“Hide protect operating system files (Recomended)”). Uz uzdoto jautājumu atbildēt “Jā” (“Yes”);

3.3.5 Nospiest OK. Visi slēptie faili kļūs redzami.

3.4 Nodzēst failu explorer.exe, izvēloties to ar peli un nospiežot taustiņu Del un piekrītot dzēšanai;

3.5 Atkārtot faila nodzēšanas procedūru diskā D:, izņemot punktu 3.3.

4. Tādā paša veidā nodzēst četrus failus, ja tādi eksistē, kuriem ir sakars ar trojieti:

C:inetpubScriptsRoot.exe
D:inetpubScriptsRoot.exe
C:Program filesCommon FilesSystemMSADCRoot.exe
D:Program filesCommon FilesSystemMSADCRoot.exe

5. Tagad ir nepieciešams nodzēst Trojieša radītos virtuālos katalogus. Lai to izdarītu, ir nepieciešams:

5.1 Uzklikšķināt ar labo peles taustiņu uz “My computer” un izvēlēties opciju “Manage”;

5.2 Logā “Datora vadība” (“Computer managment”) izvēlēties “Computer managment/Services and Applications/Internet Information Services/

5.3 Izvēlēties virtuālo katalogu “C” un nospiest Del. Atbildēt “Jā” (“Yes”) uz uzdoto jautājumu.

5.4 Tāpat rīkoties ar katalogu “D”.

6. Veikt registra tīrīšanu, priekš tā ir nepieciešams:

6.1 Palaist reģistra redaktoru, nospiežot podziņu “Start” un izvēloties punktu “Run”, ierakstīt “regedit” un nospiest Enter.

6.2 Atrast atslēgu:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ServicesW3SVCParametersVirtual Roots

6.3 Iezīmēt parametru “/C” un nospiest Del. Uz uzdoto jautājumu atbildēt “Jā” (“Yes”)

6.4 Tāpat nodzēst parametru “/D”.

6.5 Divreiz uzklikšķināt uz parametra “/MSDAC” un izmainīt skaitli tā galā uz 201.

6.6 Tāpat rīkoties ar parametru “/Scripts”

6.7 Atrast atslēgu:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinLogon

6.8 Divreiz uzklikšķināt uz parametra “SFCDisable” un izmainīt tā vērtību uz 0.

7. Pārlādēt datoru.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

− 3 = 3

Uz augšu