Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

IIS-Worm.BlueCode - następca "Code Red"?

Jest to robak internetowy infekujący strony WWW atakując serwery IIS (Internet Information Server). Wirus rozprzestrzenia się między stronami WWW poprzez wysyłanie i uruchamianie własnego pliku EXE.

Nazwa pliku robaka zawsze jest taka sama - SVCHOST.EXE lub HTTPEXT.DLL. Jest to aplikacja Win32 (plik PE EXE) o rozmiarze około 29KB, napisana w języku programowania C++. Istnieje także wariant skompresowany o rozmiarze około 14KB. Wersja DLL ma rozmiar 47 KB i napisana jest przy użyciu tego samego języka programowania.

Robak infekuje tylko maszyny z zainstalowanym pakietem IIS. Po uruchomieniu na takim komputerze wirus lokalizuje i atakuje zdalne strony WWW (zdalne komputery z zainstalowanym IIS) przepełniając ich bufor, wysyła do nich swoje kopie i kontynuuje rozprzestrzenianie. W rezultacie robak infekuje wszystkie serwery WWW (IIS) dostępne z zainfekowanej maszyny.

Robak posiada funkcję dodatkową, która od godziny 10:00 do 11:00 przeprowadza atak DoS (Deny of Service) na serwerze http://www.nsfocus.com.

Instalacja

Robak tworzy swoje kopie (EXE oraz DLL) w katalogu głównym dysku C: - C:\SVCHOST.EXE oraz C:\HTTPEXT.DLL. Pierwszy plik umieszczany jest w kluczu auto-run rejestru systemowego:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Domain Manager = C:\svchost.exe

Następnie wirus tworzy i rozprzestrzenia skrypt C:\D.VBS oraz wyłącza aplikację INETINFO.EXE jeżeli jest aktywna. Ponadto skrypt wyłącza serwisy indeksowania oraz mapowanie drukarki.

W rezultacie robak uniemożliwia innym robakom oraz hakerom wniknięcie do zainfekowanego systemu przy użyciu dziur w zabezpieczeniach serwera WWW.

Rozprzestrzenianie

W celu dalszego rozprzestrzeniania się robak uruchamia 100 wątków, które skanują losowe adresy IP i atakują je.

W 50% przypadków atakowane maszyny funkcjonują w tej samej sieci, natomiast atakowane adresy IP mają postać "aa.bb.??.??", gdzie "aa.bb" jest częścią adresu zainfekowanej maszyny, podczas gdy "??.??" to elementy losowe. W pozostałych przypadkach atakowane adresy są całkowicie losowe.

Aby zaatakować maszynę robak wysyła losowo skonstruowane żądania przepełniające jej bufor. Jest to zatem atak "polimorficzny" w wyniku czego filtry IIS mogą mieć problemy z jego zatrzymaniem.



 2001-09-07  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych