Baksaz féreg

CH azonosító

CH-12177

Angol cím

Baksaz worm

Felfedezés dátuma

2015.04.23.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A Baksaz féreg egy régi sérülékenységet próbál kihasználni. A Windows-ban 2003-ban feltárt LSASS (CVE-2003-0533) puffertúlcsordulási hiba révén igyekszik hálózati megosztásokon keresztül feljutni a számítógépekre. Mindez azt is jelenti, hogy leginkább azok a PC-k kiszolgáltatottak a féreggel szemben, amelyek nem tartalmazzák a biztonsági frissítéseket.

Leírás

A Baksaz nemcsak a terjedésével okozhat problémákat, hanem azzal is, hogy hátsó kaput nyit a fertőzött számítógépeken. Ettől kezdve pedig képes egy vezérlőszerver bevonásával fogadni a terjesztői által kiadott parancsokat, amik kiterjedhetnek fájlműveletekre, folyamatokkal kapcsolatos manipulációkra és távoli parancssoros hozzáférés biztosítására is.

Technikai részletek:

1. Létrehozza a következő állományokat:
%ProgramFiles%Internet Exp1orerIEXPLORE.EXE
%SystemDrive%$NtUninstallKB922582$fltmkb.dll

2. A regisztrációs adatbázishoz hozzáadja a következő értékeket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun
“IEXPLORE.EXE” = “%ProgramFiles%Internet Exp1orerIEXPLORE.EXE”

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun
“IEXPLORE.EXE” = “%ProgramFiles%Internet Exp1orerIEXPLORE.EXE”

HKEY_LOCAL_MACHINESOFTWAREMicrosoftCurrentNetInf”pid” = […]
HKEY_LOCAL_MACHINESOFTWAREMicrosoftCurrentNetInf”hostid” = […]

3. Csatlakozik a vezérlőszervereihez.

4. Fogadja a támadók parancsait, amelyeket rögtön végrehajt.

5. A Windows egyik sebezhetőségének kihasználásával megpróbál hálózati megosztásokon keresztül terjedni.

Megoldás

Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.