Egy újabb, biztonsági hibát kihasználó trójai terjed

A trójai program tulajdonságai

Felfedezésének ideje: 2003. február 7.
Utolsó frissítés ideje: 2003. február 7.
Veszélyeztetett rendszerek: Windows NT/2k/XP, Microsoft IIS
Nem érintett rendszerek: Windows 3.x/9x/Me, Macintosh, OS/2, UNIX, Linux
Mérete: nem ismert
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódásakor bekövetkező események

– a Microsoft IIS-ben kihasznál egy hibát (Unicode directory traversal vulnerability), amelyre szerencsére már létezik egy patch
– betölt egy scriptet, amely a futtatásra vonatkozó parancsokat tartalmazza
– megnyitja a 1297-es portot a fertőzött számítógépen és ezen a porton figyel a trójai alkotójától érkező adatokra
– létrehoz egy IRC nicknevet a fertőzött számítógépen
– megkísérel egy IRC szerverhez csatlakozni, majd egy előre meghatározott csatornához kapcsolódik (itt egyébként közzé teszi a fertőzött számítógép részletes információit)
– amennyiben tizenegyedszerre került a trójai újraindításra, egy előre meghatározott website ellen DoS támadást indít (szintén ez következik be akkor, ha a rendszerdátum és -idő értéke: 2002. november 10., 12:00:00-12:01:40)
– port scan támadás céljából IP-címeket vizsgál meg, olyan hostok után kutatva, ahol képes lehet behatolni
– amennyiben a felhasználó képes jogosultságot szerezni a trójaihoz futás után, és parancsokat visz be, a program létrehozza a D.bat állományt, amely le tudja törölni a trójai könyvtárát

A trójai kínálta lehetőségek

– kérelem intézése a fertőzött számítógéphez, annak rendszerinformációjáért
– csomagok küldése, DoS támadás kivitelezése céljából
– a trójaihoz való hozzáférés újrakonfigurálása
– statisztika-jelentés
– a fent leírt biztonsági rés kihasználása egy távoli rendszeren
– FTP adatátvitel a fertőzött rendszer és a trójai készítőjének számítógépe között