Το trojan 'winhelper'
Από την Melinda Thompson (habit)
Τελευταία ενημέρωση 17/1/98 ΤΙ ΕΙΝΑΙ;
Ξεκινώντας γύρω στις 10 Ιανουαρίου 98, πολλοί χρήστες του προγράμματος mIRC για Windows έχουν πέσει θύματα takeovers σαν αποτέλεσμα της δράσης ενός νέου προγράμματος τύπου trojan horse (ένα αρχείο το οποίο παριστάνει ότι είναι επιθυμητό ενώ δεν είναι). Αφού προσβληθεί, το πρόγραμμα μπορεί να αναγκαστεί να κάνει ένα η περισσότερα από τα παρακάτω - να:
1. καλέσει με invite έναν κακοποιό σε οποιοδήποτε κανάλι είσαστε operator,
2. αφαιρέσει το op (mass deop) από όλους τους άλλους ops,
3. δώσει op στον εισβολέα,
4. σας κάνει να κάνετε deop τον εαυτό σας η να κάνετε /quit.
Αυτό έχει ως αποτέλεσμα ένα εκ των πραγμάτων takeover το οποίο δεν απαιτεί εκμετάλλευση του timestamp (TS) του server, ή netsplits, ή οποιαδήποτε άλλη μέθοδο.
ΜΑ ΠΩΣ ΤΟ ΕΠΑΘΑ;
Αυτό το exploit σκόπιμα ονομάζεται σαν κάτι το οποίο ίσως είναι επιθυμητό, όπως ένα screensaver, ένα crack ή κάποιο άλλο εκτελέσιμο (.exe) αρχείο (spoof.exe και land.exe είναι μερικά παραδείγματα). Μπορείτε να το πάρετε μέσα στο IRC μέσω DCC get, ή να το κατεβάσετε μέσω WWW ή FTP. Άσχετα πως, πρέπει να το λάβετε συνειδητά (εκτός αν κάνετε το λάθος να χρησιμοποιείτε το αυτόματο DCC get του mIRC, όποτε ο καθένας μπορεί να σας στείλει ότι θέλει όποτε θέλει).
Όταν αποπειραθείτε να τρέξετε αυτό το trojan, είναι σχεδιασμένο ώστε να εμφανίζει ένα μήνυμα λάθους ή να φανεί σαν αποτυχής μεταφορά, ενώ αυτό που κάνει είναι μετατροπές στο αρχείο win.ini και η εγγραφή άλλων δυο αρχείων. Εσείς μάλλον υποθέτετε ότι το αρχείο έπαθε κάποια ζημιά κατά τη μεταφορά και το σβήνετε ή το ξεχνάτε. Εν τω μεταξύ όμως, το exploit έχει ήδη εγκατασταθεί. Ένα ψεύτικο mIRC.ini έχει γραφτεί στο επίπεδο του root στον οδηγό εκκίνησης (συνήθως το C:\) και, από ότι φαίνεται, η θέση του εκεί το κάνει να φορτώνεται εκείνο αντί για το σωστό mirc.ini, το οποίο βρίσκεται στον κατάλογο του mIRC.
ΠΩΣ ΔΟΥΛΕΥΕΙ;
Οι κακοποιοί κάθονται σ' ένα προκαθορισμένο κανάλι και περιμένουν να δουν σημάδια ότι έχετε προσβληθεί. Εσείς θα στέλνετε ένα /notice σ' αυτό το κανάλι κάθε φορά που συνδέεστε με το IRC, αλλάζετε nickname, και πιθανώς όταν παίρνετε op. Εκείνοι τότε έρχονται στο κανάλι σας και σας υποχρεώνουν να το παραδώσετε σ' εκείνους (δείτε τα τέσσερα βήματα πιο πάνω). Η εντολές στον προσβεβλημένο χρήστη δίνονται μέσω του /msg !
<εντολή>, το οποίο το script σας εμποδίζει να δείτε. Παραδίνετε λοιπόν τον έλεγχο του καναλιού χωρίς νακαταλάβετε ότι σας έχουν στείλει μηνύματα μ' αυτές τις εντολές.
ΠΩΣ ΔΙΟΡΘΩΝΕΤΑΙ;
Διορθώνεται ως εξής: Σβήστε το αρχείο winhelper.exe, το mIRC.ini που βρίσκεται στο C:\, και αφαιρέστε μια γραμμή από το win.ini η οποία παραπέμπει στο αρχείο winhelper.exe... με άλλα λόγια, μια γραμμή στο win.ini που γράφει κάτι σχετικά με το τρέξιμο του C:\windows\system\winhelper.exe, ίσως κάτι σαν run=C:\windows\system\winhelper.exe.
Η τοποθεσία του ίσως είναι διαφορετική, σίγουρα όμως παραπέμπει στο αρχείο winhelper.exe. Υπάρχουν πολλές παραλλαγές του αρχικού trojan, αλλά τώρα μοιάζουν να δρουν με τον ίδιο τρόπο: δημιουργώντας η τροποποιώντας βασικά αρχεία εκκίνησης όπως τα mirc.ini, win.ini ή script.ini.
ΗΘΙΚΟ ΔΙΔΑΓΜΑ
*ΠΟΤΕ* μην κατεβάζετε
αρχεία (μέσω DCC, WWW, FTP ή με
οποιονδήποτε άλλο τρόπο) από ένα
πρόσωπο ή σημείο το οποίο δε
γνωρίζετε, άσχετα πόσο ελκυστικά η
συνηθισμένα φαίνονται τα αρχεία
αυτά. Κυκλοφορούν τόσοι βαρεμένοι
που είναι πρόθυμοι να σας
εκμεταλλευτούν και οι συνέπειες
κυμαίνονται από το σχετικά
ακίνδυνο, όπως takeovers καναλιών στο IRC,
μέχρι το σχετικά επικίνδυνο, όπως η
πρόσβαση σε ή η διαγραφή του
σκληρού σας δίσκου, η απόκτηση
πρόσβασης στο λογαριασμό σας, ή και
χειρότερα. Δείτε για παράδειγμα το:
Δεν προσπαθούμε απλά να σας τρομάξουμε -- αυτά τα πράγματα συμβαίνουν όντως καθημερινά!