CODERED,
CODERED.C, TROJ_CODERED.C, HBC, rozmiar 3,818 bajtów
Wirusy typu CODERED są szczególnie
niebezpieczne dla środowiska Windows NT/2000 z zainstalowanym
oprorgamowaniem Microsoft IIS (Internet Information Services). Pojawiają
się w postaci pakietu danych zawierajacych binaria (Shell Code) oraz
instrukcje, które w efekcie powodują przepełnienie bufora (Buffer Overflow)
serwera. Przepełnienie umożliwia wykonanie dostarczonego kodu (Shell Code)
na prawach systemowych. Informacje dotyczące tej techniki ataku są dostępne
w sieci Microsoft Technet oraz stronach eEye Digital Security.
Kod wysyłany wraz z robakiem zaprojektowano tak, iż może on być
uruchamiany, jak już wspomniano jedynie na maszynach z Windows 2000 wraz z
zainstalowanym serwerem IIS. Wirus odszukuje w pamięci rezydujace jądro
systemu operacyjnego KERNEL32.DLL. Następnie odnajdywany jest
interfejs GetProcAddress API oraz inne funkcje, niezbędne do
propagacji. Do jego działania niezbędne są także następujące biblioteki:
WS2_32.DLL - Winsock V 2.0
ADVAPI32.DLL - zmiany w rejestrach
USER32.DLL - przeładowanie systemu i funkcjonowanie
Robak kopiuje plik %windir%\CMD.EXE do
następujących lokacji przez co może przepisać ten sam plik do systemu
zainstalowanego na napędach C:\ i/lub D:\:
C:\INETPUB\SCRIPTS\ROOT.EXE
C:\PROGRA~1\COMMON~1\SYSTEM\MSADC\ROOT.EXE
D:\INETPUB\SCRIPTS\ROOT.EXE
D:\PROGRA~1\COMMON~1\SYSTEM\MSADC\ROOT.EXE
Następnie lokuje w katalogu systemowym zainfekowanego napędu plik
programu trojana EXPLORER.EXE, który jest identyfikowany przez
oprogramowanie Trend Micro jako TROJ_CODERED.C. Umożliwia on atakującemu
pełny dostęp do serwera Web. Technika ta wykorzystuje słabość systemu,
przez co program C:\EXPLORER.EXE uruchamiany jest w pierwszej kolejności.
Modyfikowane są także klucze rejestrów, co wyłącza ochronę plików:
HKLM\Software/Microsoft\Windows NT\
Current Version\WinLogon\SFCDisable
tworzone są następujące rejestry:
HKLM\SYSTEM\CurrentControlSet\Services\
W3SVC\Parameters\Virtual Roots\
/Scripts = %rootdir%\inetpub\scripts,,204
/MSADC = %rootdir%\program files\common files\system\msadc,,205
/C = C:\,,217
/D = D:\,,217
Sprawdzana jest data systemowa. Jeśli rok jest jest przypadkiem ustawiony na
więcej niż 2002 a miesiąc na następujacy po październiku, system jest
resetowany.
Jak usunąć:
Najprościej i najskuteczniej można usunąć zagrożenie korzystając z narzędzia
dostarczanego przez Trend Micro, znajdującego
się w spakowanym pliku:fixcodec.zip.
FixCodeC.exe skanuje oraz czysci pamięć systemu. Z uwagi na fakt, iż
wirus umieszcza tam do 600 kopii, może to potrwać do kilku minut. Usuwane są
także pliki zawierające robaka oraz naprawiane rejstry. Adminstratorzy
systemów Windows NT lub 2000 powinni ściągnąć i zainstalować udostępnianą
przez Microsoft łatę: MS01-033. W celu sprawdzenia, czy system już
jest w ten sposób zabezpieczony, można wykorzystać kolejne narzedzie
opracowane przez Trend Micro: detect_cr.exe
Ewentualnie zalecana jest następująca ścieżka postępowania:
Odłączyć maszynę od sieci Internet,
Wrowadzić łatę pobraną z Microsoft.
Skasować wszystkie kopie ROOT.EXE zlokalizowane w następujących
katalogach:
C:\INETPUB\SCRIPTS\ROOT.EXE
C:\PROGRA~1\COMMON~1\SYSTEM\MSADC\ROOT.EXE
D:\INETPUB\SCRIPTS\ROOT.EXE
D:\PROGRA~1\COMMON~1SYSTEM\MSADC\ROOT.EXE
Wykasować pliki trojana:
ATTRIB C:\EXPLORER.EXE -H -A -R
DEL C:\EXPLORER.EXE
ATTRIB D:\EXPLORER.EXE -H -A -R
DEL D:\EXPLORER.EXE
Jeśli nie przyniesie to rezultatu (trojan rezyduje w pamięci systemu),
należy:
Przeładować system.
Wyzerować wartości następujących rejestrów:
HKLM\SOFTWARE\Microsoft\WindowsNT\Current Version\WinLogon\SFCDisable
HKLM\SYSTEM\CurrentContro\Set\Services\W3SVC\Parameters\
Virtual Roots
/Scripts
/msadc
/c
/d
Skanować zasoby przy pomocy oprogramowania Trend Micro i wykasować wszystkie
pliki zidentyfikowane jako CODERED.C oraz TROJ_CODERED.C.
Korzystać z najnowszych wzorców wirusów.
Opracowano
na podstawie materiałów Trend Micro
© 2001 Trend Micro Incorporated. All Rights Reserved
