W32.Korgo.F-Ένα «σκουλήκι» απειλεί τα κομπιούτερ μας

Post by **Einherjar** » Fri Jun 11, 2004 6:34 pm

Νέα σοβαρή απειλή για τους υπολογιστές εμφανίστηκε με τη μορφή του ιού Κόργκο λίγες εβδομάδες μετά την καταστροφή που προκάλεσε ο Σάσερ. Αρχικά, οι ειδικοί θεώρησαν ότι το καινούργιο «σκουλήκι» (μία μορφή ιού) είναι απλώς παραλλαγή του Σάσερ. ’λλαξαν γνώμη όμως όταν είδαν 12 διαφορετικές παραλλαγές τού Κόργκο σε ελάχιστο χρόνο, ανεβάζοντάς το έτσι ψηλά στη λίστα επικινδυνότητας.

Φαίνεται μάλιστα πως ο δημιουργός του κάνει δοκιμές για τη δημιουργία νέων παραλλαγών, με στόχο να αιφνιδιάσει τους χρήστες και να προκαλέσει ακόμα μία σοβαρή επιδημία. Σύμφωνα με τους ειδικούς της Panda Software, εταιρεία λογισμικού καταπολέμησης των ιών, τα κίνητρα του δημιουργού του Κόργκο ίσως αποτελούν σημαντική απειλή για τα συστήματα πληροφορικής.

Το «σκουλήκι» εκμεταλλεύεται διάφορα προβλήματα ασφαλείας των Windows για να εξαπλωθεί ταχύτατα μέσω Ίντερνετ. Σε αντίθεση όμως με το Σάσερ, προσπαθεί να διατηρήσει χαμηλό προφίλ όταν μολύνει υπολογιστές. Έτσι, οι χρήστες δεν αντιλαμβάνονται ότι το σύστημά τους έχει μολυνθεί. Ο Σάσερ, για παράδειγμα, προκαλούσε συνεχείς επανεκκινήσεις του υπολογιστή, σημαίνοντας έτσι «συναγερμό».

Ανάλογα με την παραλλαγή του Κόργκο που έχει μολύνει το σύστημα, το «σκουλήκι» μπορεί να σβήνει συγκεκριμένα αρχεία, να ανοίγει θύρες επικοινωνίας και να επιχειρεί να συνδεθεί με διάφορους κόμβους. Επίσης, ελέγχει την πρόσβαση σε διάφορα σημεία του συστήματος, εμποδίζοντας άλλες εφαρμογές να τα χρησιμοποιήσουν και αλλάζει τα καταχωρημένα στοιχεία στο μητρώο των Windows.

Ο στόχος του δημιουργού όμως παραμένει μυστήριο, ανησυχώντας τους ειδικούς. «H εργασία που έγινε για την ανάπτυξη των διάφορων παραλλαγών του Κόργκο υποδηλώνει ότι πρόκειται για κάτι πιο σοβαρό από μία απλή προσπάθεια εντυπωσιασμού», λέει ο Λούις Κόρονς, επικεφαλής του εργαστηρίου καταπολέμησης ιών της εταιρείας. «Διαφέρει από την τυπική στρατηγική που ακολουθείται στις περιπτώσεις των περισσότερων ιών, δηλαδή την κυκλοφορία όσο το δυνατόν περισσότερων παραλλαγών με στόχο τη μόλυνση πολλών υπολογιστών. Τώρα, κάθε παραλλαγή είναι σχεδιασμένη να διαγράψει όλες τις προκατόχους τους». Έτσι, φαίνεται πως ο συγγραφέας τους προσπαθεί να δημιουργήσει ένα καταστροφικό μοντέλο, το οποίο θα αιφνιδιάσει τους χρήστες. Και μάλιστα μία επιδημία θα περνούσε απαρατήρητη από την πλειονότητα.

Το Korgo δημιουργεί backdoors στα TCP ports 113, 3067 και 2041, μέσω των οποίων μπορεί να δεχθεί εντολές από τους δημιουργούς του.

Removal tool από Symantec:
http://securityresponse.symantec.com/av ... .tool.html

Security fix από Microsoft:
http://www.microsoft.com/technet/securi ... 4-011.mspx

Πηγή: ΤΑ ΝΕΑ

Post by **HdkiLLeR** » Fri Jun 11, 2004 9:10 pm

Δυστιχώς κόλλησα και εγώ προχθές...
Το παραπάνω worm είναι αρκετά ύπουλο και εκμεταλεύεται ένα buffer overflow που υπάρχει το LSASS service των windows...Μετά απο την είσοδο το προλαβαίνεις δεν το προλαβαίνεις, εμένα μου διέγραψε files απαραίτητα για το startup ενώ ήδη είχε καταστρέψει και το lsass.exe.

lumenintervalum · Post by **lumenintervalum** » Sat Jun 12, 2004 2:22 am

ΦΟΥΚ!!πως το έβγαλες;;;

Post by **Einherjar** » Sat Jun 12, 2004 12:18 pm

Γι'αυτό υπάρχουν τα παραπάνω εργαλειάκια και patches

Post by **HdkiLLeR** » Sat Jun 12, 2004 1:44 pm

Τα παραπάνω εργαλειάκια και patches είναι για την περίπτωση που καταφέρει το μηχάνημα να λειτουργήσει(bootάρει) σωστά μετά απο την εισβολή. Εάν δεν ξεκινάει πως να τον περάσεις;

Αυτό που έκανα είναι:
1)Tοποθέτηση σε άλλο pc και scan απο εκεί.
2)Αντικατάσταση των κατεστραμένων files(διστιχώς μετά απο αυτό δεν είναι και πολύ stable το σύστημα).
3)Patch το lsass.exe και έριξα και ένα firewall για να μην ξαναπαίξει τπτ τουλάχιστόν μέχρι να κοπάσει η δουλειά.

Μετά απο την εξεταστική θα παίξει ξύλωμα στα win σταντέ πάντως...

yioan · Post by **yioan** » Sat Jun 12, 2004 1:51 pm

πάντως αν έχεις windows xp ή windows 2000 (μάλλον αφού έχεις lsass.exe), τρέξε στη γραμμή εντολών την εντολη sfc /scannow
Με έσωσε πολλές φορές.
Ελέγχει τα αρχεία του συστήματος και αν έχουν τροποποιηθεί τα επαναφέρει από το cd.

Post by **HdkiLLeR** » Sat Jun 12, 2004 1:55 pm

Προσπάθησα να κάνω restore(system) αλλά και αυτό το είχε σμπαριαλάσει. Πολύ καλό πάντος το παραπάνω αν και μερικά Patches τα χάνεις.

yioan · Post by **yioan** » Sat Jun 12, 2004 2:08 pm

Code: Select all

Πολύ καλό πάντος το παραπάνω αν και μερικά Patches τα χάνεις.

...Καλύτερο από το να χάσεις το σύστημα και να σου μείνουν τα patches...

Post by **HdkiLLeR** » Sat Jun 12, 2004 2:17 pm

Αν και off-topic καλύτερα να χάσω το σύστημα μιας και είναι άχρηστο ενετλώς...πάω στο Debianάκι μου και υσηχάζω...και απο firewall, καλύτερο και απο εμπορικές λύσεις μέχρι και και fake icmp packetes στέλνεις και επεμβάσεις στο OS fingerprinting κάνεις...για να μην πώ άλλα όμως και φάω κράξιμο

yioan · Post by **yioan** » Sat Jun 12, 2004 2:25 pm

πως να υπάρχουν ιοί για το Linux αφού δεν υπάρχει αμοιβή... η microsoft δίνει στους φίλους σου που θα σε καταδώσουν 250000 $. Η open-source κοινότητα δε δίνει τίποτα...

semika · Post by **semika** » Sat Jun 12, 2004 3:32 pm

Αρχικά ευχαριστώ το συντάκτη αυτού του άρθρου για την ενημέρωση...

Ηθελα όμως να ρωτήσω και το εξής:
Αν κάποιος έχει firewall μπορεί να προσβληθεί απτο σκουλήκι ή δεν παίζει ρόλο??

Ευχαριστώ

vagalati · Post by **vagalati** » Sat Jun 12, 2004 3:38 pm

yioan wrote:πως να υπάρχουν ιοί για το Linux αφού δεν υπάρχει αμοιβή... η microsoft δίνει στους φίλους σου που θα σε καταδώσουν 250000 $. Η open-source κοινότητα δε δίνει τίποτα...

Να και ένας λόγος που δεν τον είχα σκεφτεί ποτέ μου. Παιδιά, να κανονίσουμε να φτιάξουμε ένα worm, κάποιον απο μας να τον καταδώσουμε στη Micro$oft, και όταν μοιράσουμε τα λεφτά, αυτός θα πάρει το μεγαλύτερο μερίδιο. Μέσα;

Post by **silegav** » Sat Jun 12, 2004 5:09 pm

Αν προσφέρεσαι να είσαι ο καταδιδόμενος, μέσα!!!

Post by **Einherjar** » Sat Jun 12, 2004 5:33 pm

semika wrote:Αρχικά ευχαριστώ το συντάκτη αυτού του άρθρου για την ενημέρωση...

Ηθελα όμως να ρωτήσω και το εξής:
Αν κάποιος έχει firewall μπορεί να προσβληθεί απτο σκουλήκι ή δεν παίζει ρόλο??

Ευχαριστώ

Το firewall δεν εμποδίζει πάντα το σκουλίκι από το να μπει στον Η/Υ σου (γι'αυτό κυρίως είναι τα anti-viruses). Αν δεις κάτι περίεργο να θέλει να ανοίξει κάποιο tcp connection στα ports που έγραψα, τότε έχεις κολλήσει και το μόνο που μπορείς να κάνεις είναι να μην δώσεις το δικαίωμα να διαδοθεί

vagalati · Post by **vagalati** » Sun Jun 13, 2004 1:15 pm

silegav wrote:Αν προσφέρεσαι να είσαι ο καταδιδόμενος, μέσα!!!

Εγώ έκανα τον κόπο και το σκέφτηκα! Άλλος πρέπει να είναι ο καταδιδόμενος, δεδομένου ότι έτσι και αλλιώς θα πάρω μεγαλύτερο μερίδιο ;-).

Post by **HdkiLLeR** » Sun Jun 13, 2004 2:10 pm

semika wrote:Αρχικά ευχαριστώ το συντάκτη αυτού του άρθρου για την ενημέρωση...

Ηθελα όμως να ρωτήσω και το εξής:
Αν κάποιος έχει firewall μπορεί να προσβληθεί απτο σκουλήκι ή δεν παίζει ρόλο??

Ευχαριστώ

Εάν το στήσεις σωστά(μιλάμε για εμπορική λύση όχι για το lame firewall των XP) δεν περνάει τπτ.

vagalati · Post by **vagalati** » Sun Jun 13, 2004 2:25 pm

Πάντως έχω ακούσει ότι ένα dedicated μηχάνημα για firewall έχει πολύ καλύτερα αποτελέσματα (σαν να έχεις hardware firewall) απο το να το έχεις στήσει στο τοπικό σου μηχάνημα (π.χ. στα XP). Ισχύει αυτό;
Ίσως να χάνει λόγω του πολύ multitasking (ιδίως στα win

), και το firewall να μην προλαβαίνει να κοιτάει όλες τις εισόδους στα ports.

Post by **HdkiLLeR** » Sun Jun 13, 2004 2:39 pm

yioan wrote:πως να υπάρχουν ιοί για το Linux αφού δεν υπάρχει αμοιβή... η microsoft δίνει στους φίλους σου που θα σε καταδώσουν 250000 $. Η open-source κοινότητα δε δίνει τίποτα...

Ο βασικός λόγος για τον οποίο πάντος γράφονται worms/vrii για windows είναι πασιφανής πιστεύω...Πολύ απλά είναι ευκολότερο να κάνεις ένα worm για ένα τρύπιο Os το οποίο τρέχει στο 80% των χρηστών παρά ένα worm για ένα OS το οποίο έχει 1 remote hole εδώ και 7 χρόνια(OpenBSD).

Είναι πιο εύκολο να σπάσεις την ασφάλεια μιας τράπεζας η του μανάβικου της γειτονιας(M$) ;; - Ρητορικό το ερώτημα.

Post by **HdkiLLeR** » Sun Jun 13, 2004 2:45 pm

Εάν αναφέρεσαι απλά και μόνο στην ταχύτητα τότε ναι έχουν καλύτερα αποτελέσματα.Φαντάσου το firewall σαν έναν superdaemon η καλύτερα ένα wrapper ο οποίος καλύπτει 65.000 Ports και περνάει κάθε ip datagram/upd packet/tcp segment απο το εισερχόμενο/εξερχόμενο traffic απο πάνω απο 100 filters...Για κάθε μοναδικό πακέτο αυτό είναι μεγάλο load για την CPU και θα καταλήξει bottleneck για ένα δίκτυο. Απο την άλλη σε σωστές υλοποιήσεις δεν υπάρχει μόνο ένα firewall αλλά 2 layers. Εάν θέλει κανείς μπορώ να αναφερθώ σε συγκεκριμένες σχεδιάσεις.