[ml] Analisi di un worm

http://www.expita.com/nomime.html
Configuring Mail Clients to Send Plain ASCII Text

----- Forwarded message from billiejoex <billiejoex(at)fastwebnet.it> -----
From: billiejoex <billiejoex(at)fastwebnet.it>
Subject: Analisi di un worm

Un saluto caloroso a tutti i lettori della preparatissima ml. ;-)
Posto per un problema riguardante un'infezione abbastanza strana. In pochi giorni mi ? capitato di dover reinstallare per 2 volte windows (per problemi di dual boot tra linux e win) e in entrambi i casi ho contratto la stessa, strana, infezione. Le procedure di configurazione del sistema che ho eseguito sono sempre le solite: 

- distaccamento fisico del cavo di rete 
- installazione firewall 
- collegamento del cavo di rete e aggiornamento a SP1 e tutti gli hotfix di sicurezza di windows update. 
- configurazione generica del sistema (disabilitazione servizi superflui, configurazioni varie ecc...). 
Una cosa normalissima, insomma.

Al termine delle mie configurazioni il sistema ? completamente patchato, pulito sia a livello di processi, che di servizi che di programmi in startup. 
Senonch?, appena tiro giu il firewall nel giro di qualche minuto contraggo un'infezione! E questo ? accaduto per tutte e due le nuove installazioni che ho attuato in questa settimana. 

Il virus si presenta sotto forma di file "Wins.exe", si va a posizionare in C:\windows\system32 e crea due chiavi di registro per autoavviarsi in: 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 

Incuriosito dall'accaduto ("che razza di vulnerabilit? avr? sfruttato, dato che il sistema ? completamento patchato?") mi armo di sniffer per vedere almeno che diamine combina suddetto mostriciattolo. Questa ? l'analisi che ho eseguito: 

- Si avvia in startup, ed inizia ad instaurare una connessione con 213.26.184.148 (tale: server.abo5.com, almeno a quanto dice il DNS) sulla porta 7000 del server remoto. 

- Si autentica a questo fantomatico server IRC (canale  #fearme#) loggandosi come: "{EVIL4987}". Il server mi saluta con un banner del tipo "Welcome to the winRT server/2000 server. There are 390 user and 83 invisibles". Si vede cmq bene dal risultato dello sniffing: 
http://billiejoex.altervista.org/Prove/sniff.txt 

- Successivamente inizia ad aprire centinaia di porte di range contiguo, e a mandare pacchetti SYN sulla porta 445 (microsoft-ds) a tutti gli host della mia stessa sottorete (ho fastweb, e, di fatto, ? come se fossi in una LAN): 
http://billiejoex.altervista.org/Prove/netstat.txt 

- Per finire, dopo una ventina di minuti che inonda di SYN gli host della mia sottorete, il firewall rileva un tentativo di exploiting relativo al componente RPC (DCOM o LSASS, non ricordo con precisione) indirizzato ai danni degli host a cui prima aveva mandato i pacchetti SYN. 

A questo punto mi chiedo: come ? possibile tutto quecsto? Il problema non ? la disinfezione (basta cancellare l'eseguibile ed eliminare la chiave in startup) bens? la vulnerabilit? che c'? a monte, dato che nel caso in cui io tiri giu il firewall il worm si ripresenta automaticamente. 
Il tutto farebbe pensare a una vulnerabilit? non patchata, ma del resto il windows update parla chiaro, dicendo che non ci sono aggiornamenti disponibili, salvo il SP2. Cosa diamine pu? essere allora? Forse M$ ha una nuova vulnerabilit? nel comodino, per cui non ha ancora rilasciato la patch (non sarebbe la prima volta del resto)? Fino ad oggi ho sempre pensato che winXP SP1 full patched garantisse gli stessi livelli di sicurezza di SP2 full patched, almeno per ci? che concerne l'hot fixing dei singoli componenti vulnerabili (rpc dcom, rpc lsass, UPnP ecc...). Sbaglio? 

PS - Per quel che pu? servire allego anche un log di hijack: 
http://billiejoex.altervista.org/Prove/hijackthis.txt 

Saluti

----- End forwarded message -----