home *** CD-ROM | disk | FTP | other *** search

---

/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / modules / nessus-2.2.8.mo / usr / lib / nessus / plugins / codered_x.nasl

< prev

next >

Wrap

Text File  |  2005-03-31  |  3KB  |  106 lines

---

1. #
2. # Copyright 2001 by Noam Rathaus <noamr@securiteam.com>
3. #
4. # See the Nessus Scripts License for details
5. #
6. #
7.  
8. if(description)
9. {
10.  script_id(10713); 
11.  script_bugtraq_id(2880);
12.  script_version ("$Revision: 1.24 $");
13.  script_cve_id("CVE-2001-0500");
14.  
15.  name["english"] = "CodeRed version X detection";
16.  script_name(english:name["english"]);
17.  
18.  desc["english"] = "Your machine is infected with the 'Code Red' worm. Your Windows system seems to be compromised.
19.  
20. Solution:
21. 1) Remove the file root.exe from both directories:
22. \inetpub\scripts
23.  
24. and
25.  
26. \program files\common files\system\msadc
27.  
28. 2) Install an updated antivirus program (this will remove the Explorer.exe Trojan)
29. 3) Set SFCDisable in hklm\software\microsoft\windows nt\currentversion\winlogon to: 0
30. 4) Remove the two newly created virtual directories: C and D (Created by the Trojan)
31. 5) Make sure no other files have been modified.
32.  
33. It is recommended that hosts that have been compromised by Code Red X would reinstall the operating system from scratch and patch it accordingly.
34.  
35. Risk factor : High
36.  
37. Additional information:
38. http://www.securiteam.com/securitynews/5GP0V004UQ.html
39. http://www.securiteam.com/windowsntfocus/5WP0L004US.html
40. http://www.cert.org/advisories/CA-2001-11.html
41. http://www.microsoft.com/technet/itsolutions/security/tools/redfix.asp
42.  
43. ";
44.  
45.  script_description(english:desc["english"]);
46.  
47.  summary["english"] = "CodeRed version X detection";
48.  script_summary(english:summary["english"]);
49.  
50.  script_category(ACT_GATHER_INFO);
51.  
52.  script_copyright(english:"This script is Copyright (C) 2001 SecuriTeam");
53.  family["english"] = "Backdoors";
54.  script_family(english:family["english"]);
55.  
56.  script_dependencie("find_service.nes", "http_version.nasl", "www_fingerprinting_hmap.nasl");
57.  script_require_ports("Services/www", 80);
58.  exit(0);
59. }
60.  
61. #
62. # The script code starts here
63. #
64. include("http_func.inc");
65.  
66. port = get_http_port(default:80);
67.  
68. if(!get_port_state(port))exit(0);
69. sig = get_kb_item("www/hmap/" + port + "/description");
70. if ( sig && "IIS" >!< sig ) exit(0);
71.  
72. soc = http_open_socket(port);
73. if(soc)
74. {
75.  req = http_get(item:"/scripts/root.exe?/c+dir+c:\+/OG", port:port);
76.  send(socket:soc, data:req);
77.  buf = http_recv(socket:soc);
78.  http_close_socket(soc);
79.  
80.  pat1 = "<DIR>";
81.  pat2 = "Directory of C";
82.  
83.  if ( ("This program cannot be run in DOS mode" >< buf) || (pat1 >< buf) || (pat2 >< buf) )
84.  {
85.   security_hole(port);
86.   exit(0);
87.  }
88.  else
89.  {
90.   soc = http_open_socket(port);
91.   if ( ! soc ) exit(0);
92.   req = http_get(item:"/c/winnt/system32/cmd.exe?/c+dir+c:\+/OG", port:port);
93.   send(socket:soc, data:req);
94.  
95.   buf = http_recv(socket:soc);
96.   http_close_socket(soc);
97.  
98.   if (("This program cannot be run in DOS mode" >< buf) || (pat1 >< buf) || (pat2 >< buf) )
99.   {
100.    security_hole(port);
101.    exit(0);
102.   }
103.  }
104. }
105.  
106.