Opasoft: Síť v ohrožení

Pokud by měl být škodlivý kód Opasoft charakterizován jen skutečně velmi stručně, pak by se dalo říci, že jde o s...


Pokud by měl být škodlivý kód Opasoft charakterizován jen skutečně velmi
stručně, pak by se dalo říci, že jde o síťového červa obsahujícího navíc rutinu
zadních dvířek. A je třeba zdůraznit, že skutečně jde o červa síťového, nikoliv
e-mailového.
Opasoft se nešíří elektronickou poštou, ale po lokálních i globálních sítích
bez vědomí uživatele.
Jde o PE.EXE soubor s velikostí cca 28 kilobajtů. Ke svému šíření využívá
službu NETBIOS MS Windows. V napadeném počítači se ukládá do adresáře Windows
pod názvem SCRSVR.EXE a registruje se do klíče:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun ScrSvr

Jak se šíří
Na červu je bezesporu nejzajímavější způsob, jakým se šíří světem. K
lokalizování počítačů, které by mohl navštívit, skenuje síť pomocí portu 137
(NETBIOS Name Service). Nejprve kontroluje síť, ve které "sedí" současný
(infikovaný) počítač (IP adresa aa.bb.cc.??).
Následně se zaměřuje na dvojici sousedních sítí (aa.bb.cc+1.??, aa.bb.cc-1,??).
Poté ještě zkouší vyhledat další náhodně vybrané sítě pomocí generátoru čísel
(kromě několika, které jsou v programovém kódu červa pro skenování "zakázané").
Pokud se mu z některé IP adresy dostane odpovědi (tj. na této adrese se nachází
reálný a fungující počítač), Opasoft okamžitě začne skenovat i její dvě
sousední sítě.
Jakmile Opasoft zjistí, že je na dotyčné adrese k dispozici komunikující
počítač, ověřuje, zda má tento stroj aktivovanou službu "File and Print
Sharing" (sdílení souborů a tisku). Pokud ano, je zahájena infekční rutina. Na
dotyčnou IP adresu Opasoft posílá za použití portu 139 (NETBIOS Session
Service) specifický SMB paket. Ten je schopen na počítači vytvořit/modifikovat
dva soubory:
WINDOWSscrsvr.exe vlastní kopie červa
WINDOWSwin.ini upravený WIN.INI soubor s auto-run instrukcí.

Přebírá kontrolu
Výsledkem uvedené akce je situace, kdy při příštím (re)startu Windows přebírá
kopie červa kontrolu. Přitom dostatečnou ochranou nemusí být ani zabezpečení
sdílení počítačů heslem. Opasoft nejprve provede útok hrubou silou (vyzkouší
všechny jednosymbolové znaky). Pokud ani teď neuspěje (heslo je delší než jeden
znak), červ se nevzdává a snaží se využít bezpečnostní chyby "Share Level
Password Vulnerability". Tento bezpečnostní nedostatek je známý dostatečně
dlouhou dobu a samozřejmě pro něj existují záplaty, ale jejich instalaci
bohužel uživatelé ani administrátoři nepřikládají tak velký důraz, jak by bylo
zdrávo.
Opasoft se po své úspěšné instalaci do počítače a provedení šířící rutiny
pokouší spojit se stránkou www.opasoft.com a provést následující akce:
stáhnout a provést novou verzi červa (pokud je zde k dispozici)
stáhnout a vykonat skripty umístěné na této stránce.
Krátce po objevení Opasoftu se ale stránku podařilo uzavřít, takže uvedené
nebezpečí už není reálné.
Opasoft napadá jen stroje s Windows 9x, nikoliv platformu Windows NT. V
současné době je známo už několik verzí tohoto programu, který ukazuje, kudy se
pravděpodobně škodlivé kódy v nejbližší době vydají. Počítačů s neodstraněnými
bezpečnostními chybami totiž bylo, je a asi ještě hodně dlouho bude více než
dost.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.