JAVA_STORM.A

    JAVA_STORM.A là một sâu internet dựa vào những lỗi hỗng của IIS được gọi là Web Server Folder Traversal để tấn công lây nhiểm vào Server. Nó sẽ làm ngưng trệ hệ thống mail server và liên tiếp gửi mail đến gates@microsoft.com

    Loại sâu này cài đặt hoặc upload một Java RunTime Enviroment (JRE) vào trong một vùng của hệ thống nơi mà nó cần tấn công lây nhiểm. Khi nó thực thi sẽ tạo ra một lúc 6 tiến trình để thực hiện những công việc là :

 Scan Internet Protocol của IIS
 Mở các cổng FTP/ Telnet/Console để điều khiển từ xa
 Tấn công làm trì trệ hệ thống Microsoft Web Server
 Gửi một số lượng lớn email đến Microsoft Web Server

    Trước khi kết thúc tiến trình này, nó sẽ sử dụng Host IP để scan một triệu địa chỉ IP của IIS. Nó sẽ mở và kết nối với port 80 và kiểm tra xem nó có thể khai thác được trên server mà nó tìm thấy hay không và sử dụng những kí tự Unicode để cho phép một hacker có thể điều khiển và truy xuất vào hệ thống. Khi việc kết nối được thiết lập nó sẽ chép chính bản thân nó vào hệ thống mà nó lây nhiểm rồi gửi một email đến địa chỉ Agberd.Celine@gmx.net sử dụng account POP3 với những thông tin tìm thấy trên hệ thống đang lây nhiểm đó.

    POP3 account mà JAVA_STORM.A sử dụng là mail.gmx.net, username là 8562348 và password là java/lang. Loại sâu này được sao chép vào thư mục Winnt\system32. Nó upload và thực thi tập tin STORM.EXE

    Khi một port được mở trong FTP, nó mở port 69 để điều khiển từ xa. Trong Telnet nó mở port 23001 và được kiểm tra sau mỗi 50 mili giây. Khi sử dụng telnet đến port này nó sẽ đưa ra cho một username và password trước khi thiết lập kết nối.

Để truy xuất từ xa, loại sâu này sử dụng username là “Agberd Celine” và password là “clockdva”. Để điều khiển được hệ thống từ xa, nó sẽ mở port 2300 và username, password. Trong khi điều khiển nó sẽ thực thi những lệnh như sau :

 User
 smtpusersend/smtpuserreceive
 smtppwdsend/smtppwdreceive
 pwd
 banner
 installed
 extract
 run
 eresult
 rresult
 smtp
 lastinstalled
 host
 replacer
 sendmail
 ttl
 timeout
 emailsend / emailreceive
 address
 pop3
 scanned
 tftpdir
 consoleport
 telnetport
 dos
 systemlog
 clearsystemlog
 bomb
 clearbomb
 bombtext
 check
 copy
 cresult
 vulnerable
 clearvulnerable
 respond
 clearrespond
 register
 clearserver
 clearregister
 iresult
 debug
 shell
 startdos/stopdos
 startbomb/stopbomb
 startregister
 startscanner/stopscanner
 exit

    Để làm trì trê hệ thống Microsoft Web Server nó sẽ gửi nhiều yêu cầu thông qua TCP đến một vùng hệ thống và sẽ không hồi đáp lại những thông điệp được gửi vì vậy hệ thống sẽ tiếp tục hồi đáp lại những yêu cầu.

    Ngoài ra nó còn gửi nhiều email đến địa chỉ gates@microsoft.com với nội dung là “Fuck you!”. Những email này được gửi liên tục cho đến khi dòng lệnh stopbomb được thực thi.

    Một khi JAVA_STORM.A thực hiện xong tất cả những tiến trình nó sẽ chỉnh sửa lại Registry của hệ thống với hai mục là Run và RunService tại vị trí HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

Cách giải quyết :

 Bấm tổ hợp Ctrl-Alt-Delete để kết thúc tác vụ Java trong cửa sổ Task Manager.
 Xóa thư mục Winnt\system32\storm
 Xóa tập tin STORM.EXE trong thư mục winnt\system32
 Scan lại hệ thống và xóa tất cả những tập tin có liên quan đến JAVA_STORM.A

PcLeHoan 1996 - 2002
Mirror : http://www.pclehoan.com
Mirror : http://www.lehoanpc.net
Mirror : http://www.ktlehoan.com