4 sierpnia 2003

Worm.Win32. Autorooter - korzysta z luki w zabezpieczeniach systemów firmy Microsoft

Jest to wieloskładnikowy robak działający w systemach Win32. Wyposażony jest w procedury rozprzestrzeniające przeznaczone dla sieci lokalnych i globalnych, lecz nie zostały one ukończone przez autora.

Robak otrzymał swoją nazwę na podstawie tekstów znajdujących się w jego głównym składniku:

rpc autorooter by ERIC
RPC autorooter
.

W celu rozprzestrzeniania się robak wykorzystuje lukę w zabezpieczeniach systemu operacyjnego MS Windows, opisaną w biuletynie MS03-026.

Pakiet szkodnika

Robak podróżuje w pakiecie Win32 SFX ZIP o rozmiarze 114 KB, zawierającym trzy pliki:

  • rpc.exe - główny składnik (starter) wykrywany jako Worm.Win32.Autorooter (rozmiar 41 KB),
  • tftpd.exe - serwer FTP (rozmiar 144 KB),
  • rpctest.ex - kod wykorzystujący lukę wykrywany jako Exploit.Win32.DCom (rozmiar 95 KB).

Po uruchomieniu pakietu SFX następuje rozpakowanie trzech powyższych plików na dysk C: i uruchomienie startera - rpc.exe.

Główny składnik - rpc.exe

Po uruchomieniu starter podejmuje pobrania modułu lolx.exe ze strony WWW. Moduł ten zawiera konia trojańskiego wykrywanego jako Backdoor.SdBot.gen.

Następnie robak szuka zdalnych komputerów i podejmuje próbę nawiązania połączenia za pośrednictwem portu 45. Wykorzystywane adresy IP mają postać a.b.c.d (patrz poniżej) są generowane losowo.

Wartość 'a' jest kolejno wybierana z następującej listy: 24, 12, 211, 217, 218, 220, 4, 68, 165, 65, 213, 64, 208, 128. Element 'b' jest numerem losowym z przedziału od 0 do 255. Z kolei składniki 'c' i 'd' to kolejne numery z przedziału od 1 do 255.

Przykładowo jeżeli 'a' = 68 i 'b' = 120 robak będzie atakował adresy z przedziału 68.120.0.1 - 68.120.255.255.

Po znalezieniu zdalnego komputera robak nawiązuje z nim połączenie i wysyła za pośrednictwem modułu rpctest.exe kod, który wywołuje przepełnienie bufora.

Moduł rpctest.exe

Jest to narzędzie służące do przeprowadzania ataków na zdalne komputery. W jego kodzie zapisany jest tekst:

USE THE FORZ LUKE!

Moduł tftd.exe

Jest to serwer TFTP. Robak instaluje go na porcie 69 i wykorzystuje do pobierania backdoora.

Podsumowanie

Pomimo braku działających funkcji rozprzestrzeniających, szkodnika należy traktować jako wirusa, nie zaś jako backdoora lub narzędzie hakerskie. Istnieje bardzo duże prawdopodobieństwo, iż jest to tylko wersja testowa mająca za zadanie stworzenie rozproszonej sieci komputerów, która może być wykorzystywana do późniejszych ataków.

Wszystkim użytkownikom systemów operacyjnych firmy Microsoft zaleca się pobranie specjalnej łaty usuwającej lukę wykorzystywaną przez nowego szkodnika. Pomocne może być także zablokowanie portów TCP 135, 139 oraz 445 przy użyciu zapory ogniowej.