Nowe robaki
Wczoraj pojawiły się dwa nowe robaki internetowe sklasyfikowane przez Network Associates jako W32/Korgo.wrom.e oraz W32/Korgo.worm.f. Rozprzestrzeniają się przez luki ms04-011 znane z robaka „Sasser”. Symptomy to kopiowanie się do windowsowego katalogu systemowego używając przypadkowej nazwy pliku. Tworzą również klucz w rejestrze umożliwiający uruchamianie wraz z systemem.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run „Update Service” = C:\WINDOWS\System32\[przypadkowa nazwa] .exe
Tworzony jest również dodatkowy klucz:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wireless
Robak nasłuchuje na portach TCP 113; 3067; i innych przypadkowych.
Inicjuje połączenie z następującymi serwerami IRC na porcie 6667:
gaspode.zanet.org.za
lia.zanet.net
london.uk.eu.undernet.org
washington.dc.us.undernet.org
los-angeles.ca.us.undernet.org
brussels.be.eu.undernet.org
caen.fr.eu.undernet.org
flanders.be.eu.undernet.org
graz.at.eu.undernet.org
moscow-advokat.ru
irc.tsk.ru
gaz-prom.ru
moscow-advokat.ru
Metoda infekcji oparta jest o procedury użyte w Sasserze. Robak skanuje przypadkowe adresy wysyłając pakiet SYN na porcie TCP 445, aby zidentyfikować ofiarę. Następnie kod exploita jest przesyłany do serwera i dochodzi do przepełnienia bufora w LSASS.EXE a następnie uruchomienia robaka.
Natomiast dzisiaj pojawił się Trojan zwany Reboot-AF. Do infekcji wymagana jest manualna ingerencja użytkownika. Został stworzony w Microsoft Visual Basic 6. Dopisuje złośliwy kod do 32 bitowego pliku oryginalnie zwanego Me start.scr lub/i logoff.exe, mającego rozmiar 28672 bajty. Wyświetla skrypt tekstowy na pulpicie od niejakiego Yousaf Khan’a o następującej treści:
„Sorry Friens his is Not Danger Varus but Auto Restarting your Commputer” (Przepraszam Koledzy, to Nie jest Niebezpieczny Virus, ale Auto Restart twojego Komputera)
Następnie Trojan próbuje wylogować aktualną sesję, jednakże nie zawsze działa jak został zaprojektowany. Kod jest widoczny w systemowym menedżerze zadań Windows jako aplikacja „Project1”, oraz proces „logoff.exe” (nazwy zależna od nazwy pliku). Oba można deaktywować manualnie. Aby automatycznie uruchomić się wraz z systemem
tworzy wpis w rejestrze:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Name : Yousafkiller
Data : c:\windows\system32\logoff.exe
Żródło: Network Associates Inc.