Slovníkový útok na síť

Antivirové programy tento škodlivý kód detekují pod názvy Lovgate nebo Supnot. Na následujících řádcích se budeme ...


Antivirové programy tento škodlivý kód detekují pod názvy Lovgate nebo Supnot.
Na následujících řádcích se budeme držet prvního označení, protože je přece jen
rozšířenější.
Pokud bychom jej měli velmi stručně charakterizovat, pak se jedná o
počítačového červa, který se světem šíří připojený k e-mailovým zprávám. Mimo
to ovšem má schopnost šíření po lokální síti, a aby toho nebylo málo, obsahuje
backdoor rutinu (zadní dvířka). V současné době je známo několik variant kódu
Lovgate, rozdíly mezi nimi jsou však prakticky zanedbatelné.
Lovgate se šíří v PE (exe) souboru, který byl naprogramovaný v MS Visual C++,
přičemž je komprimovaný utilitou AsPack. Soubor má v závislosti na verzi
velikost 77 až 85 kilobajtů, po dekomprimaci pak 164 až 200 kilobajtů. Po
příchodu do počítače se aktivuje pouze poklikáním na přílohu u e-mailu, na
rozdíl od většiny současných škodlivých kódů nemá samospouštěcí schopnost
(nevyužívá známého triku I-Frame).
Po instalaci do systému vykoná Lovgate nejprve svou šířící rutinu (e-mailovou a
následně i síťovou) a posléze aktivuje backdoor rutinu. Instalace přitom
probíhá tak, že nakopíruje do systémového adresáře Windows a to několikrát a
pod různými jmény. Tyto kopie pak zapisuje do registrů s auto run klíčem
(Windows NT) nebo jako příkaz run ve win.ini souboru (Windows 9x). Pro šíření
prostřednictvím elektronické pošty používá Lovgate dva různé způsoby:
Hledá soubory *.ht* (nejčastěji htm, html) v aktuálním adresáři, složce Windows
a adresáři My Documents (všechny prohledává včetně podadresářů). V nich pátrá
po řetězcích vypadajících jako e-mail. A na tyto se následně rozesílá. Přitom
má několik předpřipravených kombinací Předmět/Text/Příloha.
Druhým způsobem je získání e-mailů přímo z poštovního klienta: nepoužívá ale
žádný adresář, nýbrž odpovídá na nezodpovězené zprávy pomocí funkce MAPI. Také
v tomto případě má různé varianty textu do e-mailů ("odpovím co nejdříve, zatím
se mrkni na dokumenty v přiloženém souboru" apod.).

Na síti
Červ je schopen zkontrolovat dostupnost síťových zdrojů (disky a adresáře
sdílené i pro zápis), a jsou-li k dispozici, nakopírovat se na ně pod některým
ze šestnácti předpřipravených názvů (např. tamagotxi.exe, pics.exe, images
.exe, setup.exe). Pokud jsou síťové zdroje chráněny heslem, pokouší se použít
jako login buď guest nebo administrator a některé z následujících hesel: 123,
321, 123456, 654321, administrator, admin, 111111, 666666, 888888, abc, abcdef,
abcdefg, 12345678 a abc123. Jinými slovy: K dobytí dalších síťových zdrojů
používá slovníkový útok.
Jak již bylo výše uvedeno, Lovgate obsahuje také funkci zadní dvířek. Ta
využívá techniku IPC (Interprocess Communication), díky níž vytváří jakýsi
datový tunel, jehož pomocí může hacker přes port 10 168 zadávat infikovanému
počítači příkazy. To mu umožňuje vzdáleně převzít správu a řízení počítače.
Zadní dvířka obsahují i tzv. keylogger (nástroj na snímání stisknutých kláves).
Aby byl vetřelec informovaný o tom, že počítač je připraven vykonávat jeho
příkazy, je po infikování odeslán notifikační e-mail s názvem infikovaného
počítače, IP adresou a jménem současného uživatele.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.