Bugbear: Hromady potištěného papíru

Přelom září a října loňského roku přinesl dvojici velkých virových incidentů, následujících po sobě v rozmezí...


Přelom září a října loňského roku přinesl dvojici velkých virových incidentů,
následujících po sobě v rozmezí pouhých několika hodin. Jedna z těchto kalamit
byla způsobena škodlivým kódem, pro jehož označení se vžil název Bugbear (ač
byl v prvních zprávách označován též jako Tanat, Tanatos či Keywo).
Přes devadesát procent virových infekcí v současné době přichází do počítače
prostřednictvím elektronické pošty a Bugbear není výjimkou. Mimo to je ale
schopen se za určitých okolností šířit i po lokální síti prostřednictvím
sdílení disků. Šíří se jako příloha elektronické pošty, přičemž má podobu
PE.EXE souboru o velikosti 50 688 bajtů. Je napsaný v MS Visual C++ a
komprimovaný utilitou UPX. Kromě "klasických" vlastností e-mailového červa je
Bugbear schopen do počítače instalovat "zadní dvířka" sloužící k odcizování
hesel.

Jak přichází
Infikované e-mailové zprávy, ve kterých se šíří, mají v předmětu i ve vlastním
obsahu zprávy různé texty a stejně se mění i pojmenování přílohy (s "dvojitou"
příponou). Aktivovat v cílovém počítači se přitom Bugbear může dvěma způsoby
jednak poklikáním na přílohu a jednak samočinně (bez zásahu lidské ruky),
protože je schopen využít bezpečnostního nedostatku "Iframe".
Po vstupu do počítače se červ nakopíruje do systémového adresáře Windows pod
náhodně vygenerovaným jménem a následně tento soubor uvede do registru:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce.
Do stejného adresáře je zároveň umístěn ještě jeden soubor DLL knihovna (také s
náhodným jménem). Ta je schopna sledovat a odcizovat hesla z počítače.
Za účelem získání e-mailových adres červ prohledá lokální disk (disky) a hledá
na nich soubory s příponami ods, mmf, nch, mbx, eml, tbb, dbx a soubory, které
mají ve svém názvu řetězec "inbox". Z nich pak extrahuje řetězce podobné
e-mailovým adresám a rozesílá se na ně.
Když se dostane ke slovu a provede výše popsané rutiny (instalaci a šíření),
pokouší se následně zjistit, zdali nejsou k dispozici síťové zdroje sdílené pro
zápis. Pokud ano, vyhledá v nich adresáře "Spustit po startu" a do nich ukládá
svou kopii. Ta je tak aktivována při příštím (re)startu počítače. Uvedená
síťová rutina ale obsahuje závažnou programátorskou chybu, takže Bugbear
nejenže se pokouší o zápis na síťové počítače, ale zároveň posílá data na
sdílené síťové tiskárny. Výsledkem pak jsou hromady a hromady papíru, které
tiskárnami projíždějí (v některých případech čistého, v jiných potištěného
nesmyslnými znaky).

Zloděj dat
Bugbear obsahuje také zadní dvířka, která otevírají port 36 794 a čekají, zdali
se tímto způsobem někdo pokusí o vzdálenou (a neoprávněnou) správu počítače.
Tato rutina umožňuje vzdáleně posílat, přijímat, kopírovat a spouštět soubory,
což může být v mnoha případech velký problém. Aby byl tento úkon pro útočníka
jednodušší, vydává Bugbear pro útočníka napadený počítač za server a nabízí
pohodlné webové rozhraní pro práci s infikovaným strojem.
DLL knihovna umístěná do systémové složky Windows (viz výše) obsahuje další
nebezpečnou rutinu, která odesílá informace o uživateli a hesla uložená na
lokálním disku na několik předdefinovaných e-mailových adres.
O komplexnosti Bugbearu svědčí i fakt, že na napadeném počítači vyhledává
některé běžící procesy (především programy antivirové ochrany a jiný
bezpečnostní software) a pokouší se je ukončit. Následně pak brání jejich
spuštění.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.