Díra v SMB umožňuje vzdálené spuštění kódu

Na scéně je opět zranitelnost Server Message Block protokolu postihující všechny podporované operační systémy Windows. Do této doby v ní byly nalezeny od poslední opravy z října loňského roku (Security Bulletin MS08-063) tři nové díry, z toho dvě umožňují spuštění kódu, třetí „jen“ zatuhnutí služby a s tím související zatuhnutí celého systému. Zmíněnou říjnovou tato nová záplata samozřejmě nahrazuje.

Další podrobnosti a odkazy ke stažení obsahuje Microsoft Security Bulletin MS09-001.

Nástroj na odstranění škodlivého softwaru

Na začátek nového roku přichystal Microsoftu svůj Nástroj na odstranění škodlivého softwaru se schopností detekovat dva nové kousky škodlivého softwaru. Tím prvním je Win32/Banload, u Symantecu známý též jako Downloader.Bancos, který je trojanem stahujícím přes HTTP nebo FTP nějakého člena rodiny Win32/Banker. Zatímco z původního názvu „Banload“ by člověk mohl nabýt dojmu, že se jedná o něco, co nahrává reklamní bannery, z dalších názvů je patrné, že to bude poněkud horší, stažený neřád se totiž snaží z PC vytáhnout nějaké informace k ovládání bankovních účtů elektronickou formou.

Podstatně hutnější je však druhý zářez na pažbě Nástroje na odstranění škodlivého softwaru, vůbec poprvé v historii této aplikace dostal nějaký ten zákeřný software označení nebezpečnosti „High“, což je v kategorii malware u Microsoftu nejvyšší nebezpečnost (doposud to bylo většinou „Low“, ale třeba vše od května 2007 doposud bylo „Moderate“, víc označení v této třídě Microsoft nemá). Vítězem v dosažení nejvyššího stupně nebezpečnosti mezi badwary je Win32/Conficker, možná proto, že se nešíří v součinnosti s uživatelem, ale je na něm nezávislý, využívá totiž díry v SVCHOST.EXE, kterou záplatuje loni v říjnu mimořádně vydaná bezpečnostní aktualizace popsaná v Security Bulletinu MS08-067 (skrze stejnou díru do PC lezla také v listopadu zmíněná breberka Win32/Gimmiv). To samozřejmě není jediný důvod, proč je Conficker, který je nefalšovaným červem, označen za vysoce nebezpečného, toto zvěrstvo se totiž chrání před likvidací zastavením důležitých služeb počínaje Windows Update Service či Windows Defenderem přes Background Intelligent Transfer Service až po Windows Error Reporting Services a tyto služby nelze pak ani ručně spustit. Nastavuje také v registru u parametrů TCP/IP hodnotu TcpNumConnections na 0x00FFFFFE (16,7 miliónu spojení) a zamezuje přístup na weby, které obsahují sadu vybraných slov, jedná se hlavně o stránky s antiviry.

Conficker se instaluje zkopírováním coby skrytý DLL soubor v systémové složce Windows pod náhodným názvem a zanesením do registru …CurrentVersion\Run spouštěním přes rundll32.exe. Coby „červ“ se šíří pokusem napadat okolní počítače skrze zmíněnou díru a pokud se to povede, spustí na cílovém PC jednoduchý kód, který si z již nakaženého PC stáhne a instaluje zbytek. Rovněž se pokouší šířit skrze sdílené složky na PC se slabými hesly (hlavně se zajímá o složku ADMIN$), obsahuje v sobě seznam některých jednoduchých slabých hesel, která prostě vyzkouší. Také se zajímá o namapované síťové disky a ukládá se takticky do „koše“ (složka RECYCLER) a v kořeni takového disku vytvoří příslušný autorun.inf, aby uživatel, který takový disk otevře v průzkumníku, breberku jednoduše aktivoval, pokud má zapnuto automatické spouštění (což je bohužel výchozí stav). Myslí i na funkci obnovení systému, pokouší se volat API této služby a vyvolat „reset bodu obnovení“, čímž efektivně smaže předchozí stav, do kterého se pak touto funkcí již není možné vrátit. Za účelem svého skrytí také vypíná funkci zobrazování skrytých souborů (sám je totiž skrytý).

Takto vytvoří téměř ideální podhoubí pro další havěť, kterou se pokouší stahovat z „jakoby náhodných“ adres. Adresy samozřejmě nejsou až tak úplně náhodné, ačkoli vypadají jako změť nelogických znaků (třeba aasmlhzbpqe.com), ale generují se nějak na základě aktuálního systémového datumu. Je jasné, že tyto domény jsou připravovány podle stejného klíče, aby se na nich v daný moment mohla vyskytovat vždy čerstvá havěť a aby bezpečnostní experti nestíhali domény odstavovat.

• Nástroj na odstranění škodlivého softwaru: leden 2009 (verze 2.6): 32bitový a 64bitový (x64)