среда, 29 сентября 2010 г.

RAHack - червь для Radmin

В продолжение вчерашнего сообщения.
DrWeb добавил сигнатуру и опубликовал описание червя Win32.HLLW.RAhack.

От себя могу сказать, что программа чересчур агрессивна и в крупных сетях в ходе размножения создает средней силы DDoS, занимая обслуживанием своего трафика сетевые устройства и канал связи.

Полагаю, что зловред долго не проживет, поскольку не использует дополнительные векторы размножения, такие как CIFS/WMI. Хотя, учитывая высокие привилегии службы Radmin вполне мог бы. Тогда было бы менее приятно, поскольку за счет CIFS/WMI мог бы активно расходится внутри корпоративных сетей, а используя Radmin - переходить из сети в сеть, благо этого добра на периметрах хватает.

PS. Информация virustotal по ipz.exe.

6 комментариев:

toxa комментирует...

По ссылке в посте вываливаются новости, а вот тут: http://news.drweb.com/show/?i=1300&lng=ru&c=23 и правда можно что-то найти.

Всего-то подбор пароля... я уж думал, зиродей :) Да и если кто в энтерпрайзе держит radmin с radmin authentication, то, думаю, у него столько мышей в инфраструктуре, что там уже и без Рахака рассадник и цветник по полной ;)

Aleks Matrosov комментирует...

Понравились следующие строчки найденные в коде:
Intelligent P2P Zombie
Made in USSR

Анонимный комментирует...

Агрессия сей поделки проявляется вот в чем: программа использует для поиска живых машин минимальные по размеру 28 байтные ICMP echo пакеты (20 байт IP заголовок + 8 байт ICMP заголовок, без данных), что позволяет реализовать поиск с максимальной скоростью. При этом страдает не пропускная способность каналов, а процессорные ресурсы сетевого оборудования. DoS cоздается не объемом, а количеством.

Учитывая, что культура халявы и безответственности позволяет многим сисадминам устанавливать простецкие пароли на RAdmin, или устанавливать левые сборки Windows (ZverCD,..) напичканные уязвимостями, то вероятность подбора пароля высока, как и вероятность распространения этой штуковины.

По воздействию червь сравним со Slammer'ом. Действительно опасная штуковина.

Анонимный комментирует...

>При этом страдает не пропускная способность каналов

Много мелких пакетиков (особенно требующих ответа) и фрагментация - великая сила для утилизации канала.

toxa комментирует...

> Много мелких пакетиков (особенно требующих ответа) и фрагментация - великая сила для утилизации канала.

Я бы сказал, великая сила для утилизации мозгов всяких цисок, которые хорошо перекладывают пакетики, но плохо переваривают ситуации, где требуется включать мозги.

Анонимный комментирует...

>toxa

Есть такая хрень, в школе учат, теория передачи сигналов. В ней подробно рассказывается как скважность влияет на пропускную способность.
Особенно хорошо это проявляется в системах с общим доступом к несущей коих в сетях большинство. Поскольку количество коллизий резко растет (что предотвращенных, что обнаруженных). Пример: возьмем wifi и попробуем забить. Что эффективнее при одинаковом объеме переданных данных: множество мелких пакетов на грани фрагментации или несколько больших?
Ну а фрагментация она ага, полезна именно для сетевого оборудования, особенно функциями фильтрации трафика. Пытаются собирать, мучатцо. Если достаточно "умные" конечно.