ФЕДЕРАЛЬНАЯ СЛУЖБА БЕЗОПАСНОСТИ РОССИИ
ФЕДЕРАЛЬНОЕ АГЕНСТВО ПРАВИТЕЛЬСТВЕННОЙ СВЯЗИ И ИНФОРМАЦИИ
ИНСТИТУТ КРИПТОГРАФИИ, СВЯЗИ И ИНФОРМАТИКИ
информационное сообщение N1 от 01.04.1998
ВВЕДЕНИЕ.
В данном сообщении описаны меры предосторожности и описаны основные
технические
детали, имеющие отношение к опасному сетевому вирусу, который получил
значительное распространение не только по публичным, но и по частным и
ведомственным сетям. Кроме уникальной способности к размножению на различных
платформах, данный вирус может быть весьма опасен своей способностью
наносить
физические (!) повреждения ВТ.
примечание: для определения данной программы здесь и ниже в тексте
используется
термин "вирус", как традиционный для описания подобного рода программ. Этот
термин можно считать неточным, но подходящую замену ему найти не удалось.
УЯЗВИМЫЕ ПЛАТФОРМЫ
Практически все распространенные платформы на базе процессоров Intel,
включая:
Сетевые ОС
Windows NT, версии 3.51 - 5.0, workstation и server
Windows 95, все версии
Windows 3.1/trumpet winsock
Solaris/Intel, все версии
Linux, версии 2.x
FreeBSD, версии 2.x 3.x
SCO OpenDesktop, все версии с поддержкой tcp/ip
SCO Unixware
TIS Trusted Xenix
DOS/PC-TCP, версия 4
DOS/ka9q
DOS/UUPC/@, версии до 7.0 включительно
OS/2 с поддержкой tcp/ip
Citrix Winview
Novell Netware, 3.11 - 5.0, клиент и сервер
QNX, все версии с поддержкой tcp/ip
Приложения:
sendmail, версии до 8.8.8 включительно
bind, версии до 8.0 включительно
Oracle SQL server, версии до 7.0 включительно
MS Word, версии 6.0 и старше
MS Mail, MS Exchange, все версии
Lotus Notes, все версии
Netscape Navigator, 3.0 и старше
MS Internet Explorer, все версии.
Checkpoint Firewall-1 for NT
Файлы:
.com,.exe,.dll DOS,Windows (16/32),OS/2
.doc MS-Word 6.0 и старше
.nlm Netware
elf,a.out,intel binary Unix
html - файлы,
образы дискет и CD.
примечание: список может быть неполон, так как анализ кода вируса еще
пока что далек от завершения. Из операционных систем, для которых
почти точно установлен "иммунитет" к вирусу, можно назвать Dynix,
Interactive Unix SV, IMS Real/32, iRMX86, Desqview/X.
Физические повреждения возможны на компьютерах с процессорами Intel и AMD
с такотовой частотой 166MHz и выше. Системы на базе процессоров Cyrix/IBM
уязвимыми не являются.
В составе вируса также имеется код, предполагаемым назначением которого
является физическое повреждение жестких дисков SCSI со скоростью вращения
более 7200 оборотов в минуту, но этот код, судя по всему, неработоспособен.
РЕКОМЕНДУЕМЫЕ ДЕЙСТВИЯ
Временно убрать из сети, а лучше - обесточить все уязвимые системы.
К сожалению, эффективного средства обезвреживания пока не существует,
а для ручного уничтожения опасного кода требуется весьма высокая
квалификация. Вероятно, в ближайшее время такое средство будет создано,
ждите следующих сообщений.
ТЕХНИЧЕСКИЕ ДЕТАЛИ
Подробное описание принципов функционирования вируса (в особенности -
той части, которая обеспечивает успешное размножение в сетевых средах)
будет опубликовано позднее, вероятно - после того, как будет завершен
анализ кода и найдены адекватные меры противодействия. Анализ кода
затрудняется тем, что несмотря на многоплатформенную ориентацию,
вирус не содержит каких-либо тескстов на языках высокого уровня,
а представляет из себя нечто вроде набора объектных модулей,
компонуемых и активируемых в нужном порядке на каждой целевой системе.
Кроме того, дополнительные трудности для анализа создают динамическое
шифрование фрагментов кода, перехват управления при попытках трассировки
и легкость случайной активации деструктивного кода. Кроме того, вирус
не размножается на системах, деструктивный код для которых не существует -
при попадании на такую систему происходит быстрое самоуничтожение
(вероятно, это как раз было сделано с целью затруднить попадание
полного кода в руки аналитиков). Общие размер кода - приблизительно 500Kb,
вероятно, написан практически на 100% на ассемблере, что с высокой
вероятностью исключает предположение о том, что вирус является созданием
одного человека.
Можно провести условное функциональное деление вируса на следующие
компоненты:
a) Сетевой модуль. Производит быстрое сканирование сети, особенно -
локальной,
применяя "burst" - технологию, аналогичную использованной в сетевом сканере
"Asmodeus" (http://www.asmodeus.com). После сбора начальной статистики
производятся попытки преодоления систем защиты "соседних" компьютеров
через сети IP и IPX. При этом используются как общеизвестные методы,
такие, как подмена пакетов, перехват информации по ethernet и
зафиксированные
аналитиками по безопасности уязвимости, так и довольно изощренные способы,
позволяющие "внедрить" часть кода, способную загрузить из сети остальные
компоненты вируса в целевую систему через переполнение внутренних буферов
и т д - что интересно, весьма многие системы оказались не в состоянии
противостоять этой атаке. Общая эффективность модуля составляет до
75..80%, чего более чем достаточно для пандемического распространения
(для сравнения: эффективность аналогичного кода в известном "черве
Морриса" составляла не более 5..10%)
b) модуль локального размножения
Производит заражение файлов и дисков, подобно традиционным вирусам.
На Unix-системах модифицирует компилятор gnu c++ таким образом,
что все скомпилированные файлы оказываются заражены.
Код заражения .doc файлов редактора MS Word отличается от традиционных
макровирусов: фактически он основан не на исполнении макроса,а на
предаче управления в код напрямую через переполнение таблиц внутренних
данных.
Код заражения html-файлов записывает в них вызов Java-applet'а,
предназначенного для атаки компьютеров, которые будут просматривать
эти файлы через Netscape Navigator или Internet Explorer.
c) модуль почтовой рассылки. В виде почтового сообщения вирус может
поражать почтовые клиенты, перечисленные в вышеприведенном списке,
используя сходный алгоритм.
d) деструктивный код. Судя по всему, в процессорах Intel и AMD классов
Pentium и выше имеются внутренние недоработки, позволяющие выводить
процессор из стандартного температурного режима. Фрагменты кода для
каждого конкретного процессора различаются - т. е. есть отдельный
фрагмент для процессоров Pentium, Pentium II, Pentium Pro и т.п.
Наличие MMX-расширения значения не имеет. Собственно, для нанесения
повреждений используется предполагаемая ошибка внутренней оптимизации
работы с плавающей точкой: сначала специально подобранный цикл из
вычислительных инструкций вызывает возникновение локальных зон
перегрева (около 95 C), что ведет к обратимой функциональной деградации
кристалла, которая, в свою очередь, изменяет его электрические параметры
так, что сопротивление на перегретом участке падает, плотность тока
возрастает до 5*10^9 A/cm^2- фактически короткое замыкание - после чего
наступает необратимая структурная деградация и процессор становится
неработоспособным. На фотографиях в ИК-лучах хорошо видны эти зоны
перегрева (температура во второй фазе достигает 117 C). Скорость
изменений зависит от типа процессора, тактовой частоты и эффективности
охлаждения - но как правило, вторая фаза происходит гораздо быстрее первой;
процессоры Pentium II с частотой 300MHz иногда просто "взрываются" изнутри.
Представители фирмы Intel отказались давать какие-либо комментарии,
назвав все это "неудачной первоапрельской шуткой".
Более подробная информация будет опубликована позднее.
С авторами сообщения можно связаться по адресу ruscert@icccs.fssr.ru.
Пожалуйста, не пишите по этому адресу в течении ближайших нескольких дней ,
если у вас нет какой-либо важной информации или конструктивных предложений.
У нас ожидается очень большой поток почты.
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.