29.06.2004, 08:59

Vene häkkerite šokeeriv internetirünne

Kaspersky Lab pressiinfo

Kaspersky Lab teatab uuest viiruseepideemiast, mis koosneb reast kahjurprogrammide kombinatsioonidest, kaasa arvatud mittesanktsioneeritud tungimine arvutisüsteemidesse. Epideemia hõlmab IIS5 (Microsoft Internet Information Server 5) kasutavaid veebiservereid ja arvuteid, mis pöörduvad veebisirvijat Internet Explorer kasutades nakatunud veebiserveri poole.

Kurjategijad kasutavad arvutite nakatamiseks mittestandardset meetodit. Kõigepealt murravad nad sisse Microsoft IIS5-ga töötavasse veebiserverisse ja nakatavad selle JavaScriptis kirjutatud troojalase Trojan.JS.Scob.a-ga. Seni saadud andmete põhjal oletavad Kaspersky Lab-i analüütikud, et Microsoft Internet Information Server 5-ga töötavatesse veebiserverisse sissetungimiseks kasutatakse kas juba tuntud või siis täiesti uut, senitundmatut turvaauku.

Kui kasutaja pöördub oma arvutist veebisirvija Internet Explorer-iga nakatunud veebiserveri poole, võtab sellesse serverisse paigaldatud troojaprogramm Trojan.JS.Scob.a juhtimise üle ja pöördub päringuga veebilehe poole, kus paikneb spetsiaalne PHP-skript, mis kasutab täiesti uut — senitundmatut — Internet Exploreri turvaauku.

Lõpuks, kasutades ülalnimetatud Internet Exploreri turvaauku, paigaldatakse ohverarvutisse tagaukseprogrammi Backdoor.Padodor (modifikatsioonid: w, x, y, z) üks versioonidest, mis võimaldab paharettidel saavutada täieliku kontrolli ohverarvuti üle.

Tagaukseprogrammi Backdoor.Padodor koodi analüüsi tulemused lubavad üheselt määratleda selle kahjurprogrammi autorid. Programmi tekstis sisaldub “Autori rida” sõnadega “Coded by HangUp Team”. See annab alust arvata, et selle aktsiooni autoriks ja algatajaks on rahvusvaheliselt tuntud viirusekirjutajate ja häkkerite meeskond “HangUp Team” (veebileht rat.net.ru, praegu kaitstud parooliga), keda on kahtlustatud ka terve rea teiste kahjurprogrammide loomises. Näiteks hiljuti avastatud kurikuulus võrguuss “Padobot” (tuntud ka “Korgo” nime all), mis ründab arvutit LSASS turvaaugu kaudu, ja pärast seda saab nakatunud arvutit juhtida, saates käske läbi IRC kanalite.

Grupp “HangUp Team” on loodud kolme Arhangelski elaniku poolt. 2000. aastal nad arreteeriti ja neile mõisteti tingimisi karistused kahjurprogrammide loomise ja levitamise seaduse järgi. Sellele vaatamata tegutseb “HangUp Team” käesoleval ajal aktiivselt edasi ning sinna kuuluvad paljud põrandaaluse arvutimaailma esindajad Nõukogude Liidu endistest liiduvabariikidest ja võimalik, et ka teistest riikidest. Grupp “HangUp Team” on tuntud ka tänu oma tugevatele sidemetele rämpspostitööstusega, mis omakorda võtab “HangUp Team”-i grupilt meeleldi üle trooja programmidega nakatatud arvutivõrgud, mida siis pärast proxy serverite paigaldamist kasutatakse rämpsposti laialisaatmiseks.

“Ei ole võimatu, et sellel juhul oleks mõttekas rääkida niinimetatud “Zero-day Exploit” juhtumist ehk siis turvaaugust, mille olemasolu keegi ei tea ja mille parandamiseks pole välja lastud ühtegi parandust. Teisisõnu, on võimalik, et häkkerid, olles avastanud turvaaugu (või siis ostnud kelleltki selle kohta käiva informatsiooni), on märkamatult nakatanud enamiku maailmas leiduvaist IIS5 servereist tagaukseprogrammi levitamiseks. Me rääkisime sellise intsidendi võimalikkusest juba mõned aastad tagasi ja praegused sündmused kinnitavad kurba tendentsi, et põrandaaluse arvutimaailma tegevus on muutumas üha hävituslikumaks, kusjuures rakendatakse kombineeritud rünnakuid, mille puhul ei saa kasutada vastumeetmetena mõeldud seniseid kaitsevahendeid”, ütles Kaspersky Lab-i viirusetõrje uurimisgrupi juht Jevgeni Kasperski.

Kaspersky Lab soovitab interneti kasutajatel ajutiselt loobuda Internet Explorerist veebilehtede vaatamisel. Praegustel andmetel ei ole teised laialt levinud veebisirvijad (näiteks Mozilla, Firefox ja Opera) selle turvaaugu poolt ohustatud.

Trojan.JS.Scob.a ja Backdoor.Padodor-i modifikatsioonide x, y, z vastased kaitseprotseduurid on juba lisatud Kaspersky® Anti-Viruse viirusetõrjebaasidesse.

Kommenteeri Loe kommentaare