Összefoglaló
A Baksaz féreg egy régi sérülékenységet próbál kihasználni. A Windows-ban 2003-ban feltárt LSASS (CVE-2003-0533) puffertúlcsordulási hiba révén igyekszik hálózati megosztásokon keresztül feljutni a számítógépekre. Mindez azt is jelenti, hogy leginkább azok a PC-k kiszolgáltatottak a féreggel szemben, amelyek nem tartalmazzák a biztonsági frissítéseket.
Leírás
A Baksaz nemcsak a terjedésével okozhat problémákat, hanem azzal is, hogy hátsó kaput nyit a fertőzött számítógépeken. Ettől kezdve pedig képes egy vezérlőszerver bevonásával fogadni a terjesztői által kiadott parancsokat, amik kiterjedhetnek fájlműveletekre, folyamatokkal kapcsolatos manipulációkra és távoli parancssoros hozzáférés biztosítására is.
Technikai részletek:
1. Létrehozza a következő állományokat:
%ProgramFiles%Internet Exp1orerIEXPLORE.EXE
%SystemDrive%$NtUninstallKB922582$fltmkb.dll
2. A regisztrációs adatbázishoz hozzáadja a következő értékeket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun
“IEXPLORE.EXE” = “%ProgramFiles%Internet Exp1orerIEXPLORE.EXE”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun
“IEXPLORE.EXE” = “%ProgramFiles%Internet Exp1orerIEXPLORE.EXE”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftCurrentNetInf”pid” = […]
HKEY_LOCAL_MACHINESOFTWAREMicrosoftCurrentNetInf”hostid” = […]
3. Csatlakozik a vezérlőszervereihez.
4. Fogadja a támadók parancsait, amelyeket rögtön végrehajt.
5. A Windows egyik sebezhetőségének kihasználásával megpróbál hálózati megosztásokon keresztül terjedni.
Megoldás
Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Manipulation of data
System access (Rendszer hozzáférés)
backdoor
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu