SEOSERVISE - Защита сайтов от хакеров.

 
   
 

Главная


 


Ниже описана деструктивная логика новой версии червя. • В первую очередь червь проверял системные часы локального узла. Если теку­ щий год был меньше 2002-го, а месяц — меньше 10-го, то вирус продолжал свою разрушительную деятельность. Если дата не принадлежала к этому диапа­ зону, то система перезагружалась. • В черве CodeRed II был реализован усовершенствованный метод генерации пробных IP -адресов. Сначала генерировался случайный IP -адрес. После этого для выделения целевого адреса на него накладывалась маска. Один раз из вось­ ми червь пытался инфицировать узел, которому соответствовал совершенно случайный IP -адрес. В половине всех атак использовались адреса из диапазона класса А, к которому принадлежал и локальный адрес зараженного компьютера. Три раза из восьми червь выбирал адреса из диапазона класса В, к которому относился и локальный IP -адрес. • Если сгенерированный адрес совпадал с IP -адресом локальной системы или был широковещательным, то он пропускался и генерировался следующий. Ме­ тод выбора адресов, реализованный в черве CodeRed II , позволял ему распро­ страняться значительно быстрее, чем это удавалось червю Code Red. По сравнению с предыдущими версиями вирусов деструктивная логика червя CodeRed II оказалась гораздо более разрушительной, поскольку после заражения сис­ темы вирус изменял привилегии, используемые удаленным администратором. CodeRed II не "стремился" привести к отказу в обслуживании и не модифицировал Web -страницы. После заражения сервера любой желающий мог получить контроль над ним. Для этого червем выполняется следующее. • Выбирается диск С:. • Файл and . exe копируется из системного каталога Windows в файлы \ inetpub \ scripts \ root . exe и \ progra ~ l \ connon ~ l \8 yste ] n \ MSADC \ root . exe . • В корневой каталог системы помещается файл explorer . exe , в который внедрен специальный двоичный код. • Все предыдущие действия выполняются также для диска D :. Файл explorer . exe представляет собой "троянского коня". При его вызове выпол­няется ряд злонамеренных действий. • Осуществляется поиск локального каталога Windows . • Из локального системного каталога Windows запускается проводник. • "Троянский конь" отключает службу защиты системных файлов ( Windows File Protection ). • Создается виртуальная папка Web с привязкой к каталогам С: и 01. В результа­ те в системе создается "потайной ход" ( backdoor ). Даже после удаления файла root . exe сервер остается уязвимым для хакеров.

 

 

 

 

 

 
 

1 |2 |3 |4 |5 |6 |7 |8 |9 |10 |11 |12 |13 |14 |15 |16 |17 |18 |19 |20 |21 |22 |23 |24 |25 |26 |27 |28 |29 |30 |31 |32 |33 |34 |35 |36 |37 |38 |39 |40 |41 |42 |43 |44 |45 |46 |47 |48 |49 |50 |51 |52 |53 |54 |55 |56 |57 |58 |59 |60 |61 |62 |63 |64 |65 |66 |67 |68 |69 |70 |71 |72 |73 |74 |75 |76 |77 |78 |79 |80 |81 |82 |83 |84 |85 |86 |87 |88 |89 |90 |91 |92 |93 |94 |95 |96 |97 |98 |99 |100 |