|
| Kommentar Fra : briani |
Dato : 23-09-03 10:39 |
| | |
| Accepteret svar Fra : briani | Modtaget 60 point Dato : 23-09-03 10:45 |
| | |
| Kommentar Fra : CLAN |
Dato : 23-09-03 11:00 |
|
Som tillæg til Spywarefri, som Brian er inde på (rigtig god side)
Citat Navn: W32.Blast.worm
Alias: W32/Lovsan.worm, WORM_MSBLAST.A, Win32.Poza, W32.Blaster.Worm.
Dato: 11. August 2003
Størrelse: 6,176 bytes (MD5sum: 5ae700c1dffb00cef492844a4db6cd69)
Oprindelse: ?
Risiko: Medium/HØJ
Kruse Security ønsker hermed, at advare mod en automatiseret Internet orm der udnytter en sårbarhed under
Microsoft Windows 2000/NT, XP og 2003 server. Ormen er i stand til at replikere sig automatisk hvis
systemet ikke er behørigt opdateret.
Det var ventet, at en Internet orm ville udnytte sårbarheden i RPC DCOM under Windows 2000, NT og XP.
Det anbefales, at private brugere og erhvervsvirksomheder iværksætter forholdsregler, som beskevet i denne
advisory.
I de sene aftentimer mandag d. 11. August 2003 har Kruse Security modtager talrige samples og rapporteringer
på W32.Blast.worm. Ormen er blevet sendt i spredning ved bl.a., at e-maile koden til et stort antal e-mail
adresser med det formål, at opnå en så stor effekt af ormen, som overhovedet muligt.
Ormen spreder sig automatisk ved at udnytte RPC DCOM svagheden, som er rettet i Microsoft Security Bulletin
MS03-026 (Buffer Overrun In RPC Interface Could Allow Code Execution (823980). Opdateringen har været
tilgængelig siden d. 16. Juli 2003 på følgende adresse:
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp
W32.Blast.worm replikerer sig via TCP port 135. Når ormen finder et ikke opdateret system vil den
droppe en kopi af sig selv til windows system mappen. Det sker ved brug af en remote shell, som lytter på
TCP port 4444. Ormen afvikler koden ved at udstede en TFTP (Trivial File Transfer Protocol) kommando
(tftp -i %s GET %s), som via shell´en, downloader og afvikler koden fra den maskine, som har initieret
forbindelsen. Ormekoden droppes til windows system mappen under navnet msblast.exe (pakket med UPX) og
modificerer registreringsdatabasen med det formål, at ormen reaktiveres ved genstart af systemet.
Den opretter derfor følgende runas værdi i registreringsdatabasen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update"=msblast.exe I just want to say LOVE YOU SAN!! bill
Den danner en Mutex under navnet "Bill", som anvendes med det formål at forhindre, at flere samtidige
sessioner af ormen oprettes i hukommelsen.
Ormen anvender den inficerede maskine til at søge efter andre sårbare systemer. Det sker ved at scanne
tilfældige IP adresser startede med det lokale subnet og herefter via tilfældige IP adresser i et klasse B
subnet (255.255.0.0).
W32.Blast.worm indeholder exploitkode, som er identisk med dcom.c. Den har umiddelbart held med at afvikle
sig automatisk ved brug af universel windows 2000 offset værdi. Det kan imidlertid ikke udelukkes at ormen
kan replikkere sig til både XP og 2003 server. Det er almindeligt kendt, at ormens exploit kode kan forårsage
Denial of Service angreb mod allerede opdaterede systemer og bevirke at disse fejler. Kruse Security
analyserer i øjeblikket flere rapporteringer om at Microsoft Windows Home Edition i dansk udgave er
sårbar overfor denne orm. vi har modtaget rapporteringer fra brugere som mener at de har installeret alle
relevante sikkerhedsopdateringer, men alligevel er blevet inficeret.
Exploit koden dekrypterer sig selv ved brug af en 32-bit algoritme operation. Den henter KERNEL32.DLL
base adressen fra hukommelsen og ved brug af denne, lokaliseres følgende API adresser (ved anvendelse af CRCs
på API navnet): "LoadLibraryA", "WaitForSingleObject", "CreateProcessA", "ExitProcess", "WSAStartup",
"WSASocketA", "bind", "listen", "accept", "closesocket".
Ormen lytter, som tidligere nævnt, efter forbindelser som etableres til TCP port 4444. Denne port spawner
cmd.exe. Enhver kan dermed misbruge en inficeret PC til at foretage et kald af en lokal cmd.exe med mulighed for,
at afvikle yderligere ondsindet kode.
Ormen indeholder følgende tekst:
"billy gates why do you make this possible ? Stop making money and fix your software!!"
Endvidere befinder sig en ondsindet payload som initierer et Distribueret Denial of Service angreb (SYN
flood) mod windowsupdate.com som indledes fra midnat d. 15 August 2003. Denne hjemmeside anvendes bl.a.
til at opdatere sårbare systemer. Ormen afsender 40 bytes pakker med 20 millisekunders intervaler mod port
80, som alle lander på adressen windowsupdate.com. Denne payload kan bevirke, at Microsoft´s automatiske
opdateringstjeneste, som ligger på denne adresse, vil være utilgængelig med det til følge, at kunder
ikke vil kunne opgradere et sårbart system. DDoS angreb vil blive gennemført mellem den 16. og 31. i
følgende måneder: september, oktober, november og december.
--- Undgå W32.Blast.worm ---
Det anbefales først og fremmest, at opgradere med den opdatering, som er frigivet af Microsoft.
Se ovenstående link. Derudover bør man overveje, at blokkere for trafik til følgende porte:
UDP/135, TCP/135, UDP/137, TCP/137, TCP/445 og TCP/593. Det kan ske via en central firewall.
ISP´ere bør overveje at filtre TCP port 135.
Hjemmearbejdspladser bør etableres med en sikkerhedspolitik, som forhindrer denne orm i at replikere sig til
interne netværk bl.a. via IPSec, eller bærbare PC´ere som kobles direkte på det interne netværk. Et opdateret
antivirus program er i stand til at detekte W32.Blast.worm på et inficeret system. Norman Antivirus detekter
denne trussel som W95/Blaster-A.
--- Sideeffekter ---
Systemer med åben port 135 kan opleve ustabilitet, som potentielt forårsager, at systemer ukritisk genstarter
med en fejlmelding fra SVCHOST. Kruse Security har set mange eksempler på at dette forekommer på systemer, som
allerede er blevet opdateret. Ormen anvender et Windows 2000 offset i exploitkoden, som er yderst effektivt
Denial of Service mod Windows XP systemer.
--- Sådan fjernes ormen fra et inficeret system ---
1. Opdater maskinen med ovenstående patch fra Microsoft
2. Fjern værdien i registreringsdatabasen, som peger på "msblast.exe"
3. Genstart maskinen
4. Slet herefter msblast.exe fra windows system mappen (system32)
Denne analyse kan findes online på adressen:
http://www.krusesecurity.dk/advisories/blastworm.txt
Yderligere oplysninger om RPC DCOM sårbarheden kan findes på følgende URL:
http://www.krusesecurity.dk/advisories/1807031.txt
En oversigt over Virus og Security Alerts udsendt siden den 1. Maj 2003 kan findes på følgende
adresse: http://www.krusesecurity.dk/nyheder.html
Oversigten vil løbende blive opdateret. Alerts og Advisories sendt til den
lukkende liste vil ikke blive publiceret offentligt.
Yderligere informationer om adgang til den lukkede liste kan findes på følgende adresse:
http://www.krusesecurity.dk/mailinglist.htm
--- Andre links med information om W32.Blast.worm ---
http://www.symantec.com/avcenter/venc/data/w32.blaster.worm.html
http://vil.nai.com/vil/content/v_100547.htm
http://www.sophos.com/virusinfo/analyses/w32blastera.html
http://xforce.iss.net/xforce/alerts/id/150
http://isc.sans.org/diary.html?date=2003-08-11
http://www.f-secure.com/v-descs/msblast.shtml
Gratis værktøjer, som kan fjerne W32.Blast.worm, kan hentes på følgende URLs:
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.removal.tool.html
http://www3.ca.com/Files/VirusInformationAndPrevention/ClnPoza.zip
Et øjeblikkeligt statusbillede af forespørgsler til port 135 kan ses på følgende adresse:
http://isc.sans.org/images/port135percent.png
Med venlig hilsen / Kind regards
Peter Kruse
Kruse Security & Virusresearch
http://www.krusesecurity.dk
Phone +45 28 49 05 32 |
Søren
| |
| Kommentar Fra : kenneth24 |
Dato : 23-09-03 11:02 |
| | |
| Kommentar Fra : bullemand |
Dato : 16-11-03 14:43 |
|
Tak for alle svarene...
Lige i øjeblikket sidder jeg nemlig og døjer med den omtalte "orm"...
| |
| Du har følgende muligheder | |
|
Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.
Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.
| |
|
|