Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

Worm.Win32.Opasoft - kolejna epidemia w tym tygodniu

Jest to robak sieciowy wyposażony w procedurę backdoor. Rozprzestrzenia się w lokalnej i globalnej sieci przy użyciu usług MS Windows NETBIOS. Szkodnik ma postać pliku PE EXE o rozmiarze około 28 KB.

Instalacja

Robak instaluje się w folderze Windows z nazwą "scrsvr.exe" i tworzy następujący klucz w rejestrze systemowym:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
ScrSvr = %nazwa robaka%

Rozprzestrzenianie

W celu zlokalizowania "ofiar" robak skanuje następujące podsieci korzystając z portu 137:

  • bieżącą (zainfekowaną) podsieć (aa.bb.cc.??),
  • dwie sąsiadujące podsieci (aa.bb.cc+1.?? , aa.bb.cc-1.??),
  • losowo wybrane podsieci.

Jeżeli ze skanowanego adresu IP nadejdzie odpowiedź, robak przeszukuje kolejne dwie sąsiadujące podsieci.

Robak sprawdza specjalne pole w każdej nadchodzącej odpowiedzi. Jeżeli zawiera ono informacje o uaktywnieniu na atakowanym komputerze usługi współdzielenia plików i drukarek, szkodnik aktywuje procedurę infekującą. Wysyła ona pod atakowany adres IP pakiety SMB, dzięki którym robak wykonuje następujące operacje:

  1. Ustanawia połączenie z zasobem \\hostname\C (gdzie "hostname" jest nazwą ofiary).
  2. Jeżeli zasób jest zabezpieczony hasłem robak próbuje wykonać atak "brute-force".
  3. Po udanym połączeniu szkodnik wysyła do zasobu własny plik EXE - "scrsvr.exe" i umieszcza go w folderze Windows.
  4. Odczytuje zawartość zdalnego pliku WIN.INI i zapisuje go do pliku C:\TMP.INI na zainfekowanym (lokalnym) komputerze.
  5. Do pobranego pliku dodawana jest komenda uruchamiająca szkodnika wraz z każdym startem systemu Windows.
  6. Na końcu robak odsyła zmodyfikowany plik WIN.INI do atakowanego komputera.

W rezultacie na atakowanej maszynie tworzone są dwa pliki:

  • \WINDOWS\scrsvr.exe - kopia robaka,
  • \WINDOWS\win.ini - zmodyfikowany plik WIN.INI.

Backdoor

Procedura backdoor łączy się ze stroną www.opasoft.com i wykonuje następujące czynności:

  • uaktualnia się do nowej wersji,
  • pobiera i uruchamia skrypt umieszczony na stronie.

Nowa wersja pobierana jest do pliku "scrupd.exe". Następnie plik ten jest uruchamiany, co prowadzi do zastąpienia obecnej kopii robaka.

Podczas pracy backdoor wykorzystuje pliki dwa dodatkowe pliki: "ScrSin.dat" oraz "ScrSout.dat". Pliki te są zaszyfrowane bardzo skomplikowanym algorytmem.

Pobieranie haseł

W celu złamania haseł wymaganych do przejęcia kontroli nad atakowanymi komputerami, szkodnik wykorzystuje lukę w zabezpieczeniach zwaną "share level password exploit". Szczegółowy opis luki można znaleźć pod adresem http://www.nsfocus.com/english/homepage/sa_05.htm

Robak wypełnia pole "hasło" jednym znakiem. Gdy hasło ma rozmiar jednego bajta, host sprawdza poprawność tylko pierwszego bajta hasła i jeżeli jest on poprawny, szkodnik uzyskuje dostęp do atakowanej maszyny. W rezultacie aby uzyskać dostęp do komputera pracującego pod kontrolą systemu Win9x wystarczy wykorzystać jednobajtowe hasła. Łata eliminująca opisywaną lukę dostępna jest pod adresem http://www.microsoft.com/technet/security/bulletin/MS00-072.asp.

Usuwanie robaka z systemu

Aby pozbyć się szkodnika z systemu i zabezpieczyć się przed ponowną infekcją należy wykonać następujące czynności:

  • wyłączyć współdzielenie plików lub zastosować bezpieczne hasła dla udostępnionych zasobów,
  • usunąć zainfekowany plik EXE,
  • usunąć z pliki WIN.INI oraz z rejestru systemowego komendy uruchamiające robaka.


 2002-10-01  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych