Pozor na Gimmiv.A

Marek Molnár  /  29. 10. 2008, 07:57

Gimmiv. A je jedným z posledných trójskych koní, ktorý využíva bezpečnostnú chybu Windows serverov. Pomocou chyby v správe servisov sa pokúša dostať do čo najväčšieho počtu počítačov.

Vo Windowse vytvorí službu, ktorá zisťuje osobné údaje, následne ich ukryje a posiela na vzdialený server. Okrem iného posiela IP, sieťové nastavenia, dáta z Outlooku a heslá aplikácií ku ktorým sa mu podarí dostať. Otvorí zadné vrátka k napadnutému počítaču, cez ktoré je možné dostať do počítača ďalší škodlivý kód. Zmapuje miestnu sieť a pokúša sa rozmnožiť.

V prípade, že sa  Gimmiv.A spustí, začne vykonávať nasledovné akcie:

  • vytvorí súbor: %System%wbemsysmgr.dll
  • vytvorí službu: System Maintenance Service
     
  • prepíše nasledovné hodnoty v registroch:
    • HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicessysmgr 
    • HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvcHost"sysmgr" = "sysmgr"
       
  • vytvorí jednotku  n[náhodné číslo].exe
  • pinguje vzdialené počítače
     
  • zisťuje, či existujú nasledovné kľuče:
    • HKEY_LOCAL_MACHINESOFTWAREBitDefender
    • HKEY_LOCAL_MACHINESOFTWAREKasperskyLab
    • HKEY_LOCAL_MACHINESOFTWARESymantecPatchInstNIS
    • HKEY_LOCAL_MACHINESOFTWARETrendMicro
    • HKEY_LOCAL_MACHINESOFTWAREKingsoft
    • HKEY_LOCAL_MACHINESOFTWARErising
    • HKEY_LOCAL_MACHINESOFTWAREMicrosoftOneCare Protection
    • HKEY_LOCAL_MACHINESOFTWAREJiangmin
       
  • zisťuje či na počítači nebeží proces avp.exe
  • zozbiera systémové informacie a zároveň dáta o užívateľoch
  • pozbierané dáta utají a pošle na vzdialený server
  • otvorí zadné dvierka
     
  • vytvorí súbory:
    • %System%wbeminetproc02x.cab
    • %System%wbemscm.bat
       
  • Nahrá ďalšie súbory z internetu

Následne posiela ARP packety do siete a pomocou Server Message Block (SMB) sa pokúša opäť využiť chybu. Podľa podrobného popisu je zrejmé, že  trójsky kôň je odhalený a teda stráca účinnosť.

Vznikol už aj opravný balíček, ktorý stačí cez službu Windows Update stiahnuť a nainštalovať. Otázka však je, kde tak administrátori už urobili. Veď bezpečnosť  je najviac závislá na  administrátorovi.

d3agl3

Neprehliadnite: