Многочисленные свидетельства подобной хакерской активности в последнее время, основанные на полученных доказательствах, говорят о более чем 100 подобных инцидентах только на территории США. Из этого можно сделать вывод, что IRC трояны и подобные им инструменты осуществили огромное количество успешных нарушений безопасности. При этом стоит учитывать тот факт, что в подавляющем большинстве случаев вторжение происходит незаметно и остается так и не обнаруженным хозяином компьютера.
Полезно понять, что из себя представляет этот троян, и из каких частей состоит. Он не подпадает под классификацию Trend Micro's virus encyclopedia, и авторы и разработчики современного антивирусного обеспечения вынуждены были вносить изменения в свои продукты.
После выполнения, этот backdoor malware извлекает следующие файлы:
C:\Winnt\system32\ght.dll
C:\Winnt\system32\hajr.drv
C:\Winnt\system32\iexplorer4.cab
C: \\ Winnt\system32\Msboot.exe
C:\Winnt\system32\msflxgd.exe
C:\Winnt\system32\smtp.txt
C:\Winnt\system32\syscribe.txt
После чего запускает Msboot.exe, файл, написанный на Visual Basic, который и является программой-загрузчиком. Чтобы запускаться в случае перезагрузок компьютера, программа создает в реестре ключ запуска следующим образом:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\RunServices
?Microsoft ReBoot?= ?C:\Winnt\system32\Msboot.exe?
MSFLXGD.EXE - измененный PE-Compact mIRC клиент. После запуска, он пропускает сценарии конфигурации - netv.ocx (определяемый, как IRC _SOER.A). С этим и другими дополнительными сценариями допуска, он функционирует, как backdoor-программа, соединяющаяся с сайтом Irc.Kamaz.Kz через 7777 порт. Там она присоединяется к определенному каналу и начинает обмениваться сообщениями с хакером. Она также ждет определенные ключевые фразы, которые служат сигналом для запуска различных процессов.
Когда эта программа запущена на инфицированном компьютере, хакер получает возможность выполнять следующие действия:
Похоже, что основной целью данного хакера была атака на MS-SQL серверы, использующие Windows NT/2000. Все его зомби имели SQL серверы с с пустым паролем для sa.
Мы использовали следующие методы:
194.102.126.7 Banner: 220 sediu Microsoft ESMTP MAIL Service, Version:
5.0.2195.4905 ready at Wed, 8 May 2002 14:59:08 +0300
206.132.210.10 Banner: 220 risnt7.lefrak.com ESMTP Server (Microsoft Exchange
Internet Mail Service 5.5.2650.21) ready
24.228.6.199 Banner: 220 ramaposoftware.BEXTInc.com Microsoft ESMTP MAIL
Service, Version: 5.0.2195.2966 ready at Wed, 8 May 2002 07:51:10 -0400
24.90.7.117 Banner: 220 computech-srvr.computechny.com Microsoft ESMTP MAIL
Service, Version: 5.0.2195.4905 ready at Wed, 8 May 2002 07:52:43 -0400
24.98.120.133 Banner: 220 infoe.infoequation.com Microsoft ESMTP MAIL Service,
Version: 5.0.2195.2966 ready at Wed, 8 May 2002 07:53:37 -0400
24.98.20.168 Banner: 220 server20002.DOMAIN2000 Microsoft ESMTP MAIL Service,
Version: 5.0.2195.2966 ready at Wed, 8 May 2002 07:46:34 -0400
61.79.104.99 Banner: 220 minserver1 Microsoft ESMTP MAIL Service, Version:
5.0.2195.2966 ready at Wed, 8 May 2002 20:51:27 +0900
64.210.163.25 Banner: 220 webdemo Microsoft ESMTP MAIL Service, Version:
5.0.2195.4453 ready at Wed, 8 May 2002 04:54:29 -0700
64.210.163.75 Banner: 220 rational2.i-telco.com Microsoft ESMTP MAIL Service,
Version: 5.0.2195.2966 ready at Wed, 8 May 2002 04:55:12 -0700
64.210.163.78 Banner: 220 SLIN.i-telco.com Microsoft ESMTP MAIL Service,
Version: 5.0.2195.1600 ready at Wed, 8 May 2002 04:55:29 -0700
Наконец, мы послали по электронной почте хозяевам зараженных компьютеров сообщения в наиболее простой и понятной форме, в которых мы описали обнаруженную злонамеренную деятельность на их машинах, ставящую под угрозу их приватную информацию.
Многочисленные свидетельства подобной хакерской активности в последнее время, основанные на полученных доказательствах, говорят о более чем 100 подобных инцидентах только на территории США. Из этого можно сделать вывод, что IRC трояны и подобные им инструменты осуществили огромное количество успешных нарушений безопасности. При этом стоит учитывать тот факт, что в подавляющем большинстве случаев вторжение происходит незаметно и остается так и не обнаруженным хозяином компьютера. Стоит отметить, что эти методы становятся все более и более изощренными. Каждый такой «хозяин сети зомби» (или, как таких еще называют исследователи - «некромант») - не просто рядовой хакер-недоучка, а технически грамотный специалист, к которому надо относится с некоторым уважением, хоть он и является, фактически, преступником.
Существует мнение, что схожую тактику используют и некоторые государственные учреждения США и других стран – установка троянских программ, незаметно в течение длительного времени собирающих информацию о владельцах компьютеров. И, дескать, именно поэтому существующие защитные программы и не способны справиться с подобным видом деятельности – разработчиков явным или неявным способом заставляют оставлять эту дыру в защите для использования правительственными структурами. Звучит малоправдоподобно, но, в любом случае, стоит признать, что по отдельности ни межсетевые защиты, ни снифферы, ни системы обнаружения вторжения, ни антивирусы не способны обнаруживать подобную деятельность. И лишь комбинации из нескольких типов защитных систем (IDS+сниффер+firewall, IDS+программы просмотра логов, и т.д.) способны обнаруживать подобное нелегальное использование вашего компьютера.
Будьте бдительны!
Первое — находим постоянно, второе — ждем вас