VirovΘ novinky

╚ervenec - zß°φ 2001

╚erv I-Worm/Sircam.A je dalÜφm v²znamn²m p°φr∙stkem a podle slu₧by MessageLabs je v dneÜnφch dnech jednoznaΦn∞ nejrozÜφ°en∞jÜφ. Objevil se v polovin∞ Φervence. Narozdφl od populßrnφho Φerva I_Love_You (VBS/Loveletter.A) "₧ije" Sircam.A aktivn∞ ji₧ n∞kolik t²dn∙ (VBS/Loveletter.A se dokßzal v²znamn∞ Üφ°it jen v n∞kolika prvnφch dnech od objevenφ). I-Worm/Sircam.A se Üφ°φ prost°ednictvφm elektronickΘ poÜty jako soubor v p°φloze. Infikovanou zprßvu lze poznat podle textu, kter² zaΦφnß otßzkou "Hi ! How are you ?". Soubor v p°φloze neobsahuje pouze t∞lo Φerva, ale i p∙vodnφ obsah odcizenΘho souboru kter² si Φerv vybral. NejΦast∞ji jde o dokumenty Wordu (p°φpona .DOC). P°i troÜe sm∙le (nebo Üt∞stφ ? jak pro koho...) k Vßm tak mohou dorazit t°eba tajnß hesla a ΦφselnΘ kombinace trezor∙ v bance :) P∙vodnφ nßzev souboru je zachovßn (jeho nßzev je zßrove≥ subjektem zprßvy), Φerv si pouze p°ipojφ dalÜφ p°φponu pif, lnk, bat, com (infikovan² soubor mß tak dv∞ p°φpony, t°eba "ahoj.doc.pif"). DalÜφ cestou Üφ°enφ mohou b²t nevhodn∞ zvolenß sdφlenφ adresß°∙ v LAN. I-Worm/Sircam.A obsahuje n∞kolik Ükodliv²ch rutin. 16.°φjna m∙₧e vymazat vÜechny soubory na disku C:, pop°φpad∞ v adresß°i C:\RECYCLED vytvo°φ soubor sircam.sys, do kterΘho zapisuje text

[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]

pop°φpad∞

[SirCam Version 1.0 Copyright (c) 2001 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico]

tak dlouho, a₧ dojde k vyΦerpßnφ volnΘho mφsta na disku.

Zatφmco I-Worm/Sircam.A ohro₧uje naprosto vÜechny u₧ivatele Internetu, Φerv Code Red se t²kß p°evß₧n∞ server∙. ╪ada novinß°∙ si vÜak p∙vodnφ pravdivΘ informace od antivirov²ch firem upravili tak, aby jim sami rozum∞li. V²sledkem byly nepravdivΘ informace, kterΘ zp∙sobily paniku i u °ady u₧ivatel∙ obyΦejn²ch PC, p°ipojen²ch do Internetu pomoci modemu. Ty mohou b²t ve skuteΦnosti, v naprostΘ v∞tÜin∞ v klidu. Obßvat se musφ p°edevÜφm sprßvci server∙, na kter²ch b∞₧φ Microsoft IIS Web Server (ten b∞₧φ pod Windows NT/2000). ╚erv Code Red toti₧ napadß POUZE A JEN poΦφtaΦe/servery s nainstalovan²m Microsoft IIS Web Serverem, kter² nenφ opat°en p°φsluÜnou zßplatou. Po p°ibli₧n∞ 13 letech (tehdy do byl tzv. "Morris∙v Φerv") tu mßme dalÜφho skuteΦnΘho InternetovΘho Φerva (Φervi Üφ°φcφ se poÜtou lze pova₧ovat pouze za "Φervi v uvozovkßch") !!!

CodeRed posφlß sebe sama jako po₧adavek HTTP, ale p°eteΦenφ zßsobnφku zp∙sobφ spuÜt∞nφ k≤du Φerva na cφlovΘm poΦφtaΦi. ╚erv se spouÜtφ p°φmo v pam∞ti infikovanΘho poΦφtaΦe, neuklßdß se do ₧ßdnΘho souboru. Mezi 1. a₧ 19. dnem v m∞sφci se Φerv pokouÜφ vyhledßvat dalÜφ ob∞ti (HTTP...) na nßhodn∞ vybran²ch IP adresßch. Pokud na serveru existujφ web-strßnky, Code Red je po dvou hodinßch znep°φstupnφ a mφsto nich posφlß p°istupujφcφm u₧ivatel∙m vlastnφ HTML strßnku s textem "Welcome to http:// www.worm.com ! Hacked By Chinese!"

Pokud je datum mezi 20. a 28. dnem v m∞sφci, Φerv se pokouÜφ provßd∞t DoS ·tok (Denial of Service) na IP adresu BφlΘho domu, tj. zahltit server obrovsk²m mno₧stvφm dat a tak ho vy°adit z provozu. IP adresa BφlΘho domu byla ji₧ zm∞n∞na, proto jsou ·toky Φerva na pevn∞ danou adresu ne·ΦinnΘ.

Pozd∞ji se objevila i dalÜφ varianta, kterß se z infikovanΘho poΦφtaΦe posφlß intenzivn∞ji, ale po kratÜφ dobu. ╚erv takΘ vypouÜtφ do infikovanΘho PC trojskΘho kon∞, kter² m∙₧e slou₧it jako zadnφ vrßtka (backdoor) pro neoprßvn∞n² vstup do systΘmu.

V pr∙b∞hu zß°i se objevil dalÜφ plnohodnotn² Φerv: Code Blue. Podobn∞ jako Code Red vyu₧φvß i tento Φerv ädφruô v aplikaci Microsoft Internet Information Server (IIS). Pokud nenφ tato dφra oÜet°ena p°φsluÜnou zßplatou (patch), mß Φerv zelenou. V takovΘm p°φpad∞ poΦφtaΦ infikuje a sna₧φ se najφt v Internetu dalÜφ servery bez zßplaty. Vzhledem k tomu, ₧e BlueCode vyu₧φvß pro svΘ Üφ°enφ daleko starÜφ dφru (Web Directory Traversal vulnerability) ne₧ Code Red, zdaleka neslavφ takov² ·sp∞ch, jako jeho Φerven² bratr. Zßplata je k dispozici na Internetu ji₧ delÜφ dobu (od konce minulΘho roku).
Mezi 10:00 a 11:00 se Φerv BlueCode sna₧φ äbombardovatô web-server www.nsfocus.com a tak ho vy°adit z provozu.

P°ipravil Igor Hßk - igi@viry.cz - www.viry.cz