Code Red 2 (Yepyeni bir worm)

0
Img 5856
conan
6 Ağustos 2001 , 2 dakika okuma süresi
Evet yeni code red Agustos 4'te başgösterdi. Yapılan açıklamalara göre bu worm daha agresif ve tamamen baştan yazılmış bir worm. Bulaşma yöntemleri farklı olsa da hedef işletim sistemi aynı. Microsoft Windows 2000. (Bu sefer NT ya da 9X değil. Çünkü kullandıkları bir assembly komutu sadece windows 2000 icin geçerliymiş) Unutmadan, bu versiyon yanında bir de trojan taşıyor ;) Gelelim yeni yaramaz kurtçuğun neler yaptığına, nasıl bulaştığına.

Bulaşma: İlk etapta Code Red 2 (CR2) ilk Code Red'in bulastigi buffer overflow hatası yoluyla bulaşıyor. Bulaştığı sistemin Çince olup olmadığını kontrol ettikten sonra daha önce çalışıp çalışmadığını kontrol ediyor. Sonra ilk çalışmasında "ben çalıştım" diye bir işaret bırakıyor. (Tekrar tekrar bulaşmayi engellemek için) Daha sonrasında eger sistem Çince ise 600 değilse 300 tane bulaşma process`i açıyor. Ayrıca yine sistem Çince ise 2 gün değilse 1 gün uyuyor. sürenin sonunda makinayi reboot ediyor.

Yayılma: Kendi kendine bulaşmamak için sistem IP'sini belirliyor. 64h (hex) milisaniye uyukluyor. Sistem tarihini kontrol ediyor ve eğer sistem yılı 2002`den büyük ve de sistem ayı 10'dan küçük ise doğrudan sistemi reboot ettiriyor. [Yani 2001 yılının 10. ayına kadar çalışacak demek ;) Bu zamana kadar hala farkedilemediysem yuh yani demek sanırım bu :)] Bundan sonra ise asıl bulaşma işlemine başlıyor. Random olarak bir IP seçip oraya kendini kopyalamak üzere atak başlatıyor.

Trojan: Basitçe açıklamak gerekirse CR2 C: altında explorer.exe diye bir trojan yaratıyor ve web scriptlerini öyle düzenliyor ki sitenin adresine /c, /d, /e, .... eklediğinizde (Örnek: http://www.infected.site.com/c ) serverin bütün belleklerini [Hard disk, CDROM, hayır RAM değil... ;)] webden gezme imkanınız oluyor. :)

Web server'ınızda CR2 olup olmadığını c: dizininizin altında explorer.exe dosyasını arayarak anlayabilirsiniz. Ayrıca yine loglarınızda XXXXXXXXXXXXX satırını arattırarak saldırı denemelerini görüp eğlenebilirsiniz (ya da ağlayabilirsiniz ;)

İşte benim server`ıma gelen saldırıların sayısı: 

[conan@kingdom conan]$ grep NNNNNNNN /var/log/httpd/* |wc -l
    251
[conan@kingdom conan]$ grep XXXXXXXX /var/log/httpd/* |wc -l
    169
Yani toplam 420! (Şu ana kadar hehe)

Alınacak önlemler code red'e karşı alınacak önlemlerin aynısı. Bana hala sisteminizi yamamadığınızı söylemeyin!! :)

Sweet and secure kalın ;)

Son söz: Bu yazı eeye'in yaptığı incelemenin türkçe versiyonu gibi birşeydir. Orjinal dökümanlar ve de yazdığımdan çok çok daha fazlası bu linkte bulunmaktadır.

Güvenlik
4
Linkedin Facebook Twitter Google plus

Görüşler

anonim
0
anonim
hersey iyi de w2k assembly komutu ne demek onu pek cozemedim, bu wormcuk assembly source unu w2k in built-in assembler?? inde assemble etmeye mi kalkiyor calisinca?

Img 5856
0
conan
Sanirim Turkce hatasi yapmisim. Asil analizi aynen copy paste edeyim. Benden daha iyi acikladigi kesin. ;)

>This worm, like the original Code Red worm,
>will only exploit Windows 2000 web servers
>because it overwrites EIP with a jmp that is
>only correct under Windows 2000. Under NT4.0
>etc... that offset is different so, the process
>will simply crash instead of allowing the worm to
>infect the system and spread.
anonim
0
anonim
ok konu aciklik kazanmistir, tesekkurler,
Img 5856
0
conan
Saldiri sayim 510'a ulasti. Benim gibi baska log okuyan deli varsa paylasalim hehe.
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Google'dan güvenli iletişim için yeni bir adım: Anahtar Şeffaflığı Sistemi
tongucyumruk
16 Ocak 2017, 1 dakika okuma süresi

Tam da WhatsApp'ın kullanıcıların şifreleme anahtarlarını değiştirmesinin bir güvenlik açığı oluşturup oluşturmadığının tartışıldığı şu günlerde Google sanki önceden durumun kokusunu almış gibi kullanıcıların anahtarlarını ve anahtar geçmişlerini doğrulamayı sağlayacak Anahtar Şeffaflığı (Key Transparency) aracını duyurdu.

Anahtar Şeffaflığı sunucu/istemci modeli ile çalışan bir anahtar...

Başka `ILoveYou` virüsü`ne geçiş yok!
larweda
25 Nisan 2001, 1 dakika okuma süresi

Kendisini adres defterindeki bütün adreslere yollayan ve bu şekilde çok kısa zamanda tüm dünyaya yayılabilen `ILoveYou` ve `Kournikova` gibi virüsleri engellemek için geliştirilen yeni bir yöntem var. Klasik virüs engelleme algoritmalarının tersine, İngiliz Savunma araştırmaları merkezindeki yazılım bilimcilerin geliştirdiği `::Mail` programı, bilgisayarınıza gelen dosya ve e-mail'leri değil, sizin dışarıya gönderdiğiniz dosya ve e-mail'leri kontrol ediyor. Bu şekilde sizin bilgisayarınız virüs kapsa bile başkalarına yaymanız mümkün olmuyor. Bu tarz bir mantığın yanında klasik virüs koruma programlarını da kullanarak şu anda dünyanın belası olan virüslerden kısa bir süre için kurtulabilirsiniz. Ancak henüz bu geliştirilen algoritmayı virüs koruma programlarına uygulayarak ürün haline getiren bir yazılım firması ortaya çıkmadı.

Belli ki virüs yazan elemanlar (ki belki de dünyanın en iyi yazılımcıları bu işle uğraşıyorlar) virüslerini dağıtmak için başka yollar keşfetmek zorunda kalabilirler. Çok uzun sürmez bence, ne dersiniz?

Gerçek anlamda tesadüfi sayılar
sundance
19 Temmuz 2007, 1 dakika okuma süresi

Malum, bilgisayarlarla gerçek anlamda tesadüfi sayı üretmek mümkün değil. Bu tür sayı üretimi için bulunabilmiş en iyi yöntem atom parçacıklarının dağılmalarından faydalanmaktı.

Öte yandan herkesin bu yöntemi kullanması, bazı bariz sebeplere (RADYASYON okunur) mümkün değildi.

Şimdi ise ilk defa Quantum Random Generator'ı Internet üzerinden hizmete sokuldu.

Big Brother Is Watching You
metalyric
10 Ekim 2005, 4 dakika okuma süresi

Uyarı: Aşağıdaki haberin yazarı, daha sonra "haberdeki bilgisayara el konulduğunun gözünden kaçtığını" belirterek haberin geri çekilmesini talep etmiştir. Malesef bu habere yorum yapan okurlarımıza olan sorumluluğumuz yüzünden böyle bir şey yapamıyoruz. Lütfen haberi bunun bilinciyle okuyun.

EnderUNIX'ten Yeni Yazılım!- SwArpMon
honal
20 Ekim 2005, 1 dakika okuma süresi

EnderUNIX yazılım geliştiricilerinden Özkan Kırık, yönetilebilir switch'lerin MAC tablolarını SNMP aracılığı ile takip ederek switch üzerindeki MAC Adresi - Port değişimlerini email yolu ile sistem yöneticisine bildiren 'swArpMon' isimli yazılımı geliştirdi.