Orm inficerer kun én gang

Chefkonsulent Preben Andersen, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

Nogle mystiske tekster, der er opfanget på internettet, har vist sig at stamme fra en orm. Den bruger teksterne til at sikre, at den ikke angriber det samme offer to gange.

IDS'er (Intrusion Detection Systems), der overvåger netværk for at afsløre angreb, har opfanget nogle mærkelige tekster. De kan for eksempel se sådan ud: "__123_asdasdfdjhsdf_SAFasdfhjsdf_fsd123".

Teksten er set i pakker, der er sendt til portene 10758, 11768 eller 15118.

Sikkerhedsforskere fra firmaet Lurhq mener imidlertid nu at have fundet forklaringen.

Dipnet og Oddbob
Teksterne stammer fra en orm, der går under navnene Dipnet og Oddbob. Denne orm spreder sig ved at udnytte et gammelt og velkendt sikkerhedshul i Windows. Det drejer sig om det hul i LSASS-modulet, som Sasser-ormen udnyttede for et lille års tid siden. Hullet kan rammes via kommunikation til TCP-port 445.

Men Dipnet vil ikke ramme den samme computer to gange.

Derfor sender den først den mystiske tekst af sted til det potentielle offer. Er offeret allerede inficeret, svarer det med en lignende tekst.

Angiver hvilken type
Øjensynlig indeholder denne tekst også en angivelse af hvilken version af Dipnet-ormen, pc'en er inficeret med.

Hvis der er tale om den nyeste version, opgiver ormen sit offer og fortsætter med at finde nye potentielle ofre. I modsat fald prøver den, om pc'en er sårbar over for LSASS-angreb rettet mod port 445.

Viser pc'en sig at være sårbar, bliver der kørt en programstump, som downloader det egentlige ormeprogram fra en webside.

Herefter kan ormen via nettet hente lister med adresser, den skal angribe, eller andre angrebsprogrammer. For eksempel kan den inficerede pc blive del af et såkaldt botnet, hvor den fjernstyres via en IRC-kanal (Internet Relay Chat).

Det er nemt at beskytte sig mod Dipnet: Man skal blot installere de seneste sikkerhedsopdateringer fra Microsoft, så LSASS-hullet og andre sikkerhedshuller bliver lukket.

Derudover kan det være en god ide at bruge en firewall.

Oprindelig bragt på Computerworld Online den 28. januar 2005

 

LINKS

Lurhqs beskrivelse af Dipnet

Keywords: