Wstęp

Microsoft zareagował na zgłoszenia dotyczące dziury w serwerze IIS (Internet Information Services 5.0). Z nadesłanych do firmy informacji wynika, że serwery internetowe oparte o IIS, na których nie zainstalowano aktualizacji z biuletynu zabezpieczeń MS04-011, mogły zostać zainfekowane złośliwym kodem o nazwie Download.Ject i mogą być wykorzystywane do prób zainfekowania wirusem użytkowników przeglądarki Internet Explorer. Ryzyko nie dotyczy użytkowników systemu Windows XP, którzy posiadają dodatek Service Pack 2 RC2.

Analiza firmy Microsoft została niezależnie zweryfikowana przez grupę ds. zabezpieczeń The Internet Security Systems X-Force. Potwierdza ona, że serwery IIS 5.0, które nie posiadają poprawki z biuletynu MS04-011 są narażone na atak.

Zalecenia

Administratorzy powinni więc jak najszybciej zainstalować aktualizację KB835732. Klienci używający systemu Windows XP z dodatkiem SP2 RC2 są już zabezpieczeni przed robakiem Download.Ject i nie muszą podejmować dodatkowych kroków.

Użytkownicy pozostałych wersji systemów Windows (Windows 2000, Windows XP, Windows XP SP1, Windows Server 2003) powinni podjąć nastające kroki:

1. Zainstalować wszystkie krytyczne poprawki z witryny Windows Update.

2. Sprawdzić status infekcji i ew. usunąć trojana

a) ręcznie :

W celu sprawdzenia, czy Twój komputer jest zarażony złośliwym kodem należy przeszukać komputer w poszukiwaniu następujących plików :

Kk32.dll
Surf.dat

Jeśli którykolwiek z powyższych plików znajduje się na komputerze, system może być zarażony. Aby usunąć infekcję, należy pobrać najnowsze definicje bazy wirusów, a następnie przeskanować komputer skanerem antywirusowym.

b) z użyciem narzędzia 'Download.Ject Payload Detection and Removal Tool' :

Microsoft opracował specjalne narzędzie, które pozwoli usunąć trojana Download.Ject. Narzędzie po uruchomieniu i zaakceptowaniu licencji tworzy plik (berbcln.log) z opisem podjętych działań w folderze %WINDIR%\debug. Użytkownik musi być administratorem w celu uruchomienia tego narzędzia.

Wykrywane wersje trojanów : W32.Berbew.A, W32.Berbew.B, W32.Berbew.C, W32.Berbew.D, W32.Berbew.E, W32.Berbew.F, W32.Berbew.G oraz W32.Berbew.H

3. Zwiększyć poziom zabezpieczeń strefy Internet

W celu zwiększenia poziomu zabezpieczeń przeglądanych witryn w przeglądarce Internet Explorer należy przejść do :

Internet Explorer -> Narzędzia -> Opcje internetowe -> zakładka Zabezpieczenia (Tools -> Internet Options -> Security), następnie kliknąć na ikonę Internet; w polu Poziom zabezpieczeń dla tej strefy (Security level for this zone) przesunąć suwak na Wysoki (High). Jeśli nie widać suwaka, należy kliknąć na przycisku Poziom domyślny (Default Level), a następnie przesunąć suwak. Czynność ta ustawia poziom zabezpieczeń dla wszystkich odwiedzanych stron na wysoki. Może to spowodować, że niektóre witryny nie będą wyświetlane poprawnie. W przypadku napotkania problemów z bezpieczną witryną, należy dodać ją do Witryn zaufanych, postępując zgodnie z poniższymi wskazówkami:

Internet Explorer -> Narzędzia -> Opcje internetowe -> zakładka Zabezpieczenia (Tools -> Internet Options -> Security) -> kliknąć na ikonę Zaufane witryny (Trusted sites), następnie na przycisk Witryny (Sites). Teraz w polu tekstowym należy wpisać adres zaufanej strony, a następnie kliknąć na przycisk Dodaj (Add). Domyślnie do zaufanych witryn należeć mogą tylko witryny z weryfikacją (https:). Aby umożliwić dodawanie tam również innych witryn, których adres rozpoczyna się od przedrostka http: należy odznaczyć opcję Żądaj weryfikacji serwera (https:)... (Require server verification...). Po dodaniu wszystkich żądanych witryn należy kliknąć Zamknij (Close).

W polu Poziom zabezpieczeń dla tej strefy (Security level for this zone) należy przesunąć suwak na Średni (Medium). Czynność ta ustawia poziom zabezpieczeń dla wszystkich zaufanych witryn na średni.

Uwaga : Microsoft zaleca dodanie do zaufanych witryn przede wszystkim strony Windows Update (http://windowsupdate.microsoft.com), aby można było bez problemów pobierać najnowsze aktualizacje.

4. Uaktywnić czytanie wiadomości e-mail w trybie tekstowym (Outlook 2003/XP oraz Outlook Express 6)

Aby wyświetlać przychodzące wiadomości e-mail w bezpiecznym trybie tekstowym należy przejść w programie Outlook Express 6 do: Narzędzia- >Opcje -> zakładka Czytanie-> Czytaj wiadomości w postaci zwykłego tekstu (Tools -> Options -> Read-> Read all messages in plain text), natomiast w programie Outlook XP/2003 do: Narzędzia- > Opcje-> zakładka Preferencje -> Opcje e-mail -> Czytaj całą pocztę standardową w postaci zwykłego tekstu (Tools -> Options -> Prferences -> E-mial options -> Read all standard mail in plain text).

Pozwoli to ustrzec się przed wywołaniem złośliwego kodu z pliku HTML przesłanego jako wiadomość.
 

Podsumowanie

Nie należy lekceważyć żadnych robaków i wirusów komputerowych, gdyż może to być dla nas tragiczne w skutkach. Zalecamy wobec tego wykonanie wymienionych wyżej kroków wszystkim użytkownikom systemów Windows, a w szczególności osobom korzystającym z przeglądarki Internet Explorer lub innej bazującej na silniku IE (Avant Browser, MyIE).
 

Więcej informacji o Download.Ject :

Download.Ject @ Microsoft.com
JS.Scob.Trojan @ Symantec
Norton Antivirus Update (27.06.2004)

Biuletyn zabezpieczeń MS04-011
Aktualizacja zabezpieczeń dla systemu Windows XP (KB835732)
Aktualizacja zabezpieczeń dla systemu Windows Server 2003 (KB835732)
Aktualizacja zabezpieczeń dla systemu Windows 2000 (KB835732)
 

Strona główna XP.net.pl >>

Na podst. : witryny www.microsoft.com/downloadject
Wersja artykułu : 1.0
Ostatnia aktualizacja : 08.12.2005
Wydanie oryginalne: wersja 1.0 (28.06.2004)

Autor : GreGM © 2004
Dodane przez : GreGM © 2004