Антивирусное обозрение "Ежики" - #071 (28.03.2000)

Антивирусная Лаборатория Дизет                 http://www.dizet.com.ua
======================================================================
Антивирусное Обозрение "Ежики"
 (события, факты, комментарии)
======================================================================

Интернет-бизнес по-украински: рейтинг превыше всего

- Какие внешние каналы Вы имеете для обслуживания  своего  сайта?
На какое количество посетителей ежедневно Вы расчитываете ?
- Мы рассчитываем на 40 процентов всех  пользователей  "Укрнета",
сколько  бы  их  не  было,  технические  мощности  нам  позволяют
справиться с такими объемами.

- Какой смысл открывать еще один  такой  портал?  Ведь  уже  есть
очень много подобных сайтов...

- Ничего подобного на сегодняшний момент  в  украинском  сегменте
сети не существует.

(Стенограма   интернет-прес-конференция   нового    украинского
интернет-холдинга "Аванпорт" в УНИАН, 1 февраля 2001 р.)
                             *******

13 февраля Корреспондент.net  опубликовал  радостную  заметку,  в
которой радостно сообщалось, что "украинский  клуб  пользователей
ICQ  (icq.avanport.com)"  представляет  утилиту  для    изменения
англоязычного  интерфейса  известного  интернет-пейджера  ICQ  на
украиноязычный".  "Многие,  непонятные  из-за  языкового  барьера
возможности  ICQ   стали    доступны    большинству    украинских
пользователей - теперь практически вся "аська" на родном языке!",
- утверждал автор сообщения.

Однако через месяц, 12 марта, журналист того же  интернет-издания
сообщил менее радостную весть о том  же  продукте  "Аванпорта"  в
заметке  под  названием  "Украинизатор  ICQ  от  Аванпорта   стал
вирусом".

"2  февраля  украинская  интернет-компания  "Аванпорт"  выпустила
собственный украинизатор популярной программы  для  моментального
обмена сообщениями ICQ (в  простонароде  "аськи").  Однако  кроме
своих непосредственных функций по обеспечению "аськи"  украинским
интерфейсом она действует таким образом, что пользователь  вместо
запрашиваемого сайта в Internet Explorer  в  большинстве  случаев
попадает на страницы Аванпорта", - писал Корреспондент.net.

Как  утверждал  автор,  после  непродолжительного  обсуждения   в
конференции ukr.nodes было отправлено письмо в адрес  Лаборатории
Касперского.  Ответ, как сообщило  издание,  был  лаконичным,  но
более чем  содержательным:  "Добавлен  как  Trojan.Win32.ICQUkr".
Таким образом, украинизатор ICQ был признан полноценным вирусом и
добавлен в базу данных вирусов Лаборатории Касперского  -  одного
из  крупнейших    мировых    разработчиков    и    производителей
антивирусного программного обеспечении.

По утверждению экспертов, задача червя состоит в том, что он:

1. Заменяет ряд библиотек IExplorera.

2. Поэтому по своему желанию IE должен начать ходить на  страницы
"Аванпорта".

Для "увода" пользователя  в  "украинизаторе"  используется  давно
известный механизм "троянского коня".  Это когда под  видом  (или
под  прикрытием)  какой-нибудь  полезной  программы  в    систему
устанавливается  другая  программа,  выполняющая  свои,  часто  -
крайне нежелательные для пользователя действия.

Любопытно,  что  представители    интернет-компании    "Аванпорт"
отвергают  обвинения  в  распространении  вирусов.  В  беседе   с
сотрудником UATODAY.net один из менеджеров компании (вернее, одна
из  менеджеров)  заметила,  что  украинизатор  ICQ  не   является
вирусом, пообещала  прислать  нам  свой  комментарий  по  данному
вопросу, однако...  Уже прошло несколько дней, а  комментарий  от
"Аванпорта" так и не поступил.  Также осталось без ответа письмо,
посланное по адресу, указанному на сайте avanport.com.

Мы терпеливо ждали,  отложив  все  собранные  про  "украинизатор"
материалы  в  сторону...  Пока  сотрудник  одной  из    известных
интернет-компаний  не  сообщил  нам  о   еще    одной    придумке
"Аванпорта".  Выясняется, что при  попытке  поcмотреть,  что  там
новенького  на    сайте-сетевом    обозрении    tarakan.ru,    на
развлекательном портале idiot.ru, параллельно  в  одном  из  окон
открывается один из сайтов "Аванпорта", т.н.  atas. Возможно, что
такая же беда ожидает и посетителей других сайтов.

Впрочем,  почему  беда?  Может,  все  вышеперечисленное    просто
особенности национального интернет-бизнеса?

(c)1999-2001  Ада Кристи, UA TODAY
======================================================================

Новый опасный интернет-червь Linux.Lion

Очень опасный интернет-червь.  Подобно вирусу Linux.Ramen атакует
серверы  с  установленной  операционной  системной  Linux,   хотя
применяемые  вирусом  алгоритмы  при   минимальной    модификации
работоспособны  также  и  на  многих  вариантах    Unix.    Вирус
представляет собой набор скриптов  (shell  scripts),  модулей  на
языке Perl и  исполняемых  файлов  Linux.  Для  проникновения  на
удаленную  систему  червь  использует  переполнение   буфера    в
сигнатуре транзакции (TSIG) сервера доменных имен BIND (BIND  DNS
Server) версий 8.2, 8.2-Px, 8.2.3-beta.  Данная  уязвимость  была
обнаружена только в конце января 2001 года, что делает этот вирус
особенно опасным, так как существует вероятность,  что  системные
администраторы  еще  не   успели    установить    соответствующие
"заплатки" (patches) для устранения этой уязвимости (подробнее об
этой        уязвимости        можно        узнать              на
http://www.kb.cert.org/vuls/id/196945).  Так как приложение  BIND
обычно выполняется с привелегиями  суперпользователя  (root),  то
после  проникновения    в    систему    вирус    запускается    с
соответствующими правами и получает неограниченный  доступ  к  ее
ресурсам. Вирус состоит из двух частей:

1. Непосредственно вирусная часть, занимающаяся проникновением на
удаленные системы и размножением.

2. Набор утилит, используемый для  внедрения  в  систему  для  ее
последующего несанкционированного использования автором вируса, а
также сокрытия следов взлома и присутствия вируса в системе,  так
называемый T0rn Rootkit.

Первая часть находится в каталоге /scan и  состоит  из  следующих
файлов: bind, pscan, randb, 1i0n.sh, bindx.sh, hack.sh,  scan.sh,
star.sh  Вторая  часть  -  в  каталоге  /lib  и,  соответственно:
1i0n.sh, du, find, getip.sh,  ifconfig,  in.fingerd,  in.telnetd,
login, ls, mjy, name, netstat, pg, ps, pstree, ssh.tgz, sush, sz,
t0rnp, t0rns t0rnsb, tfn, top

При запуске в системе вирус последовательно запускает  в  фоновом
режиме первую и вторую  часть.  Первая  часть  прописывает  вызов
своего стартового  скрипта  в  файл  /etc/rc.d/rc.sysinit,  чтобы
инициализироваться  при  каждой  перезагрузке  системы.    Затем,
используя модуль randb, получает случайный адрес  подсети  класса
"B" и,  используя  модуль  pscan,  сканирует  хосты  в  указанной
подсети с открытым портом  53  (DNS  service).  Список  найденных
хостов записывается в файл bindname.log.  Далее для каждого хоста
из этого списка вызывается вирусный модуль bind, который пытается
осуществить  атаку  на  данный  хост,  используя    вышеописанную
уязвимость, инициализировать на удаленной системе сессию shell  и
запустить вирусный скрипт, который:

- устанавливает через регистрацию в конфигурационном файле
/etc/inetd.conf    возможность    беспарольного   удаленного   доступа к
командному интерпретатору (shell) взломанной системы через tcp-порт 1008

- высылает на адрес  1i0nip@china.com  информацию  о  системе,  а
также информацию о пользователях, зарегистрированных в системе  и
их паролях из файлов /etc/passwd, /etc/shadow

- удаляет файл истории команд командного интерпретатора bash
/.bash_history

-  посредством  текстового  браузера  lynx  скачать    с    сайта
http://coollion.51.net файл crew.tgz, содержащий упакованный  код
вируса,  распаковать  его  содержимое  в  каталог  /dev/.lib    и
запустить  копию  вируса  на  выполнение.  Вторая  часть,  будучи
инициализированной одновременно с первой:

- завершает системный процесс syslogd.  Таким образом, записи обо
всех последующие действия вируса не попадут в системный журнал

- устанавливает через регистрацию в конфигурационном файле
/etc/inetd.conf возможность беспарольного  удаленного  доступа  к
командному  интерпретатору  (shell)  взломанной  системы    через
tcp-порты 60008 и 33567

- создает каталоги:
/usr/man/man1/man1/
/usr/man/man1/man1/lib/
/usr/man/man1/man1/lib/.lib/
/usr/man/man1/man1/lib/.lib/.backup/
/usr/src/.puta/
/usr/info/.t0rn/

- копирует командный интерпретатор sh в
/usr/man/man1/man1/lib/.lib/.x, устанавливает ему права владельца root и
бит  suid,  таким  обазом,  данная  копия командного интепретатора будет
всегда запускаться с привилегиями администратора

- копирует файлы in.telnetd и mji в /bin и
/usr/man/man1/man1/lib/.lib  модуль    mji    используется    для
последующей очистки  файла  системного  журнала  файл  in.telnetd
является троянской версией telnet сервера

- переносит модуль /usr/sbin/nscd (Name Caching Service daemon) в
/usr/info/.t0rn/sharsed,  замещает  его  на  собственный   клиент
Secure Shell (ssh) устанавливает возможность удаленного доступа к
собственному ssh-клиенту через tcp-порт 33568

- прописывает вызов своих модулей
/usr/sbin/nscd -q
/bin/in.telnetd
в файл  /etc/rc.d/rc.sysinit  -  таким  образом  данные  вирусные
компоненты будут запущены и после перезагрузки системы

- замещает системные модули
/usr/sbin/in.fingerd
/bin/ps
/sbin/ifconfig
/usr/bin/du
/bin/netstat
/usr/bin/top
/bin/ls
/usr/bin/find
на вирусные аналоги, скрывающие работу вируса в системе

- разрешает путем модификации  файла  /etc/inetd.conf  выполнение
серверов finger и telnet

- удаляет файлы истории команд командного интерпретатора
/.bash_history и /root/.bash_history, обнуляет файлы журналов
/var/log/messages, /var/log/maillog
Таким  образом,  система  становится  полностью    открыта    для
несанкционированного доступа.

Источник: drweb.ru
======================================================================

TROJ_MOONPIE - хакерская утилита для удаленного доступа

MOONPIE  -  троянский  конь,  являющийся   утилитой    удаленного
администрирования  компьютеров  в  сети,  с    помощью    которой
"пользователь"  может  контролировать  зараженный  компьютер   на
уровне  системного  администратора.  По   своим    действиям    и
возможностям напоминает Back Orifice Trojan.

Троянец состоит из двух компонент:  "серверной"  и  "клиентской".
"Серверная"  компонента  троянца  устанавливается  на  компьютере
"жертвы" и ждет вызовов от удаленных "клиентов".

"Клиентская"  часть  троянца    представляет    собой    консоль,
позволяющую  удаленному  хакеру  определять   и    контролировать
зараженные  компьютеры.  При  ее  запуске  выводится    следующее
сообщение с заголовком "MoonPie 1.1":

MoonPie 1.2
by Simon Moon.
Консоль содержит следующие кнопки:

Connect
Info
Ping
Dateimanager
Server
Registry
Messagebox
Farben
Sonstiges
MRUs
Fun
MsgMode
Napster

Хакер может выполнять на зараженной машине следующие действия:

Получать информацию о системе

Искать, загружать и скачивать файлы

Изменять системные цвета

Просматривать списки Windows History

Передавать текстовые сообщения на дисплей

Генерировать системные сообщения об ошибках

Модифицировать конфигурацию Napster  (программа,  предоставляющая
возможность скачивания музыкальных файлов с одноименного сайта)

Открывать CD-ROM устройства

В коде троянца содержится текст:

HdZ, Drahtwurst, TimmBobby, The Nose,
Kritschnudel, One, Anubis, BlackSada,
MongoJensen, Sneaker, Sebescen, B-B|SIC, Schmiaz

Источник: Trend Micro
======================================================================
======================================================================
Все новости:  http://www.dizet.com.ua/news/
======================================================================