Niepewnie jak w Redmond

Odmiany ''konia trojańskiego'' QAZ wykrytego w Microsofcie mogą atakować sieci innych firm.

Odmiany ''konia trojańskiego'' QAZ wykrytego w Microsofcie mogą atakować sieci innych firm.

Koń trojański QAZ, znany również pod nazwami: QAZ.Trojan, QAZ.Worm, QAZ.A i TROJ_QAZ.A, to mała, wirusopodobna aplikacja, której zadaniem jest umożliwienie włamywaczowi uzyskania zdalnego dostępu do komputera. QAZ został wykorzystany m.in. przez nie zidentyfikowanego hakera do spenetrowania sieci korporacyjnej Microsoftu (pisaliśmy o tym w CW 41/2000).

Sposób działania

Uruchomienie konia trojańskiego przez nieświadomego zagrożenia użytkownika powoduje dodanie do systemowej bazy Registry następującego wpisu:

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\Run

startIE=KATALOG\Notepad.exeqazwsx.hsq

gdzie KATALOG jest ścieżką dostępu do foldera, w którym zainstalował się koń trojański. QAZ zmienia jednocześnie nazwę pliku NOTEPAD.EXE na NOTE.COM. Po dokonaniu tych modyfikacji aplikacja automatycznie uruchamia się przy każdym starcie komputera z Windows.

Po uruchomieniu QAZ rozpoczyna "nasłuch" sieciowy na porcie TCP o numerze 7597. Włamywacz, który wcześniej przesłał konia trojańskiego na komputer użytkownika, może poprzez ten port kontrolować pracę oprogramowania, przesyłać do komputera użytkownika kolejne narzędzia przydatne w dokonaniu włamania, a także zdalnie wykonywać dowolne polecenia.

QAZ nie ogranicza się wyłącznie do infekcji lokalnego komputera. Automatycznie skanuje sieć lokalną, szukając otwartego portu komunikacyjnego TCP 139 (korzysta z niego systemowa usługa NetBIOS, za której pośrednictwem są udostępniane w systemie Windows współdzielone katalogi). Jeśli znajdzie otwarty port, szuka czy wśród udostępnionych katalogów znajduje się taki, który ma w nazwie litery: WIN. Prawdopodobnie w katalogu tym znajdują się pliki systemu Windows. Jeśli okaże się, że tak jest QAZ wyszukuje NOTEPAD.EXE, zmienia jego nazwę na NOTE.COM i kopiuje się na docelowy komputer jako NOTEPAD.EXE.

Od tego momentu koń trojański czeka aż użytkownik uruchomi edytor Notepad. Gdy to uczyni, aplikacja niepostrzeżenie dopisuje się do Registry i uruchamia program NOTE.COM, by nie wzbudzać podejrzeń użytkownika.

Po każdej akcji zakończonej sukcesem, QAZ łączy się ze wskazanym wcześniej przez włamywacza (a zapisanym w koniu trojańskim) serwerem SMTP i za jego pośrednictwem wysyła pod wskazany adres (skrzynkę pocztową hakera) numer IP zainfekowanego komputera. Od tego momentu włamywacz już łatwo kontroluje jego pracę poprzez port 7597, o ile tylko nie jest on blokowany przez firewalle.

Diagnoza problemu

QAZ nie może rozprzestrzeniać się samoistnie przez sieci rozległe, najczęstszą formą jego dystrybucji jest poczta elektroniczna. Włamywacz przesyła do skrzynki pocztowej użytkownika niewinnie wyglądający załącznik, którym może być program QAZ. Chociaż obecnie powinny go już wykrywać wszystkie programy antywirusowe znanych producentów, to w Internecie krążą co najmniej cztery odmiany QAZ, a to utrudnia ich identyfikację. Wszystkie mają jednak wielkość ok. 120 KB.

Najprostszym sposobem stwierdzenia, czy na komputerach firmowych znajduje się koń trojański QAZ jest wyszukanie NOTE.COM. Jeśli okaże się, że taki istnieje i jego wykonanie powoduje uruchomienie aplikacji Notepad, to należy również sprawdzić, czy w systemowej bazie Registry istnieje podany wcześniej wpis.

Usunięcie konia trojańskiego sprowadza się do wykasowania pliku NOTEPAD.EXE (którego rozmiar powinien być znacznie większy niż 50 KB) i usunięcia z Registry podanego wcześniej wpisu (w całości). Wskazane jest również wyłączenie wszystkich współdzielonych katalogów.

--------------------------------------------------------------------------------

Czytaj też "To tylko firma informatyczna" str. 66