Stator: Útok na úplně jiného klienta

Drtivá většina e-mailových červů využívá pro své šíření nejrozšířenějšího poštovní klienta MS Outlook ...


Drtivá většina e-mailových červů využívá pro své šíření nejrozšířenějšího
poštovní klienta MS Outlook (a jeho varianty). Jen vzácně se objeví škodlivý
kód schopný spolupracovat s něčím jiným. A přesně k takovým "bílým vránám" se
řadí červ Stator, který je jako první program ve své kategorii schopen
spolupracovat výhradně s poštovním klientem TheBat!

Stejně jako další e-mailoví červi se i Stator šíří tak, že z adresáře
poštovního klienta získává kontakty na potenciální oběti, a ty následně
obšťastňuje zprávami, k nimž připojuje sám sebe. Ke svému rozesílání využívá
SMTP protokol přes server smtp.mail.ru.
Stator lze poznat již na první pohled: Předmět i vlastní text infikovaného
e-mailu jsou v ruském jazyce (pokud váš počítač azbuku nepodporuje, uvidíte
pouze "rozsypaný čaj"). Ke zprávě je připojen soubor photo1.jpg.pif (což je
ale ve skutečnosti Win32 PE soubor, tedy spustitelný program). E-mail se
tváří jako dopis od naivní dívky jménem Světa Kovaljevová, která je poprvé na
Internetu a která se obrací na adresáta s doporučením od známého, že u něj
kdykoliv nalezne pomoc a radu. Přílohu přitom vydává za svou fotografii. Kdo
by mohl Světě Kovaljevové odolat, že? A kdo by se nechtěl podívat na její
obrázek, že?

Nádherný případ sociálního inženýrství.
Pokud se přílohu pokusíte otevřít, skutečně se zobrazí fotografie dívky to je
ovšem pouze akce provedená coby kamufláž. Mezitím se už v počítači zabydluje
Stator, a to tím způsobem, že zaútočí na pět souborů v adresáři Windows. Útok
je proveden tak, že soubory mplayer.exe, winhlp32.
exe, notepad.exe, control.exe a scanregw.exe přejmenuje na soubory s příponou
vxd a původní nahradí svou vlastní kopií (samozřejmě s koncovkou exe).
Statoru to ale nestačí, a tak umístí ještě své kopie scanregw.exe a loadpe.com
do systémového adresáře Windows a soubor ifnhlp.sys do vlastní složky Windows.
Soubor loadpe.com je následně registrován jako klíč v sekci auto-run:
HKCRexefileshellopencommand = LOADPE.COM
Kdykoliv je později spuštěn jakýkoliv exe soubor formátu Win32, je aktivován
Stator a soubor infikuje stejným způsobem, jak bylo popsáno výše (i když spíše
by se slušelo napsat nahrazuje jej). Také soubor scanregw.exe (viz výše) v
systémovém adresáři Windows je registrován do auto-run registru:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices ScanRegistry =
%Systém%scanregw.exe (Kde %Systém% je odkaz na umístění systémového adresáře
v aktuálním počítači.)
Červ navíc plní též funkci trojského koně a ke svému pánovi se pokouší z
napadeného stroje odeslat následující data (u některých aplikací samozřejmě za
podmínky, že jsou instalovány):
hesla a loginy pro vzdálený přístup
hesla a loginy pro lokální síť
informace o těchto produktech: BCSoft NetLaunch, PySoft AutoConnect a CureFtp
parametry aplikací Netscape a TheBat!
FIDO TMail hesla
parametry a konfiguraci systému a další informace.

Vzhledem k tomu, že text "nakaženého" e-mailu je v ruském jazyce, a vzhledem k
tomu, že Stator využívá pro svou činnost méně obvyklého poštovního klienta
TheBat!, nedočkal se příliš velkého rozšíření.
1 2000 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.