Bofra er en ny slags orm

Chefkonsulent Preben Andersen, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

Er din pc blevet til en webserver, der lytter på port 1639? Så er du ramt af ormen Bofra.

Bofra er en familie af orme, der dukkede op i denne måned. Den anvender en ny måde at sprede sig på, hvor den kombinerer flere metoder: Mail-udsendelse, personlig web-server og udnyttelse af en sårbarhed i Internet Explorer. Dermed kan den være et tegn på, hvordan mail-orme vil udvikle sig i fremtiden.

Ankommer som mail-besked
Lige som andre e-mail-baserede orme ankommer Bofra som en mail-besked. Den kan indeholde besked om, at der er hævet 175 dollars på ens Paypal-konto. En anden variant opfordrer til at besøge en webside med porno. Fælles for alle varianterne er, at de indeholder et link til en webside.

Hvis man klikker på linket, føres man til en webside, der udnytter en sårbarhed i Internet Explorer. Det drejer sig om den såkaldte Iframe-sårbarhed, der blev opdaget i slutningen af oktober. Microsoft har endnu ikke udsendt en rettelse, der lukker dette sikkerhedshul. Sårbarheden gør det muligt at downloade og køre et program på brugerens pc, uden at han opdager det.

Via sårbarheden henter offerets pc ormeprogrammet og kører det.

Ormeprogrammet foretager sig nu en række ting. Først sørger det for at blive startet, hver gang Windows starter. Derefter fungerer det som webserverprogram: Det lytter efter HTTP-forespørgsler på en TCP-port, der som regel er port 1639.

Hvis der kommer en HTTP-forespørgsel, der ikke indeholder ordet "reactor", sender ormen en webside af sted, der udnytter sårbarheden. Indeholder forespørgslen "reactor", sender det i stedet ormeprogrammet af sted til den pc, der har afsendt forespørgslen.

Fjernstyres via IRC
Ormen forsøger også at forbinde sig til en kanal på en IRC-server (Internet Relay Chat). Det er sandsynligvis et forsøg på at melde den ind i et botnet (netværk af robotter). Alle de inficerede pc'er, der kobler sig til chatkanalen, kan herefter fjernstyres ved hjælp af kommandoer, som bagmanden afgiver via kanalen.

Så skal der sendes e-mail. Bofra kigger både i adressebogen og i diverse filer for at finde adresser, den kan sende mails til. Som afsender angiver den en forfalsket adresse, for eksempel "exchange-robot@paypal.com". I de mails, den udsender, er der et link til en side, der udnytter sårbarheden i Internet Explorer. Men denne gang peger linket på IP-adressen på den pc, der afsender mailen.

Når andre modtager mailen og klikker på linket, bliver de ført til en side, der ligger på den netop inficerede pc. Herfra inficeres deres egen pc, hvis den er sårbar.

Problem for antivirus
Selve ormeprogrammet ligger altså spredt ud på de pc'er, der er inficeret med Bofra. Her adskiller ormen sig fra tidligere mail-orme, der ankommer som vedhæftede filer i mails. Det giver den fordel, at hver mail fylder mindre, når der ikke skal en vedhæftet fil med. Endvidere gør den arbejdet sværere for antivirusprogrammer: Nu skal de opdage en mail, der ikke indeholder skadelig kode.

Nogle antivirusfirmaer fandt i deres første analyser af ormen, at den havde en del kode til fælles med Mydoom-familien. Men senere er de fleste enedes om, at der er tale om en ny familie af orme, der har fået navnet Bofra. Symantec har foreløbig identificeret fem varianter. De har alle det til fælles, at de udløber den 16. december.

Måske er Bofra den første af en ny type orme. Men nogle af dens særtræk gør, at den også kan vise sig at blive en enlig svale. For eksempel kræver den, at der er en sårbarhed, den kan udnytte. Den nuværende sårbarhed findes i Internet Explorer 6, men ikke når man kører under Windows XP med Service Pack 2.

Desuden vil ormen ikke virke på en pc, der har en personlig firewall installeret. Firewallen vil nemlig spørge, om ormeprogrammet skal have lov til at fungere som webserver. Så skulle alarmklokkerne gerne ringe hos brugeren.

Oprindelig bragt på Computerworld Online den 26. november 2004

 

LINKS

Symantecs beskrivelse af den seneste variant, Bofra.E
Grafisk fremstilling fra Sophos af Bofras spredningsmetode
US-CERT's beskrivelse af den sårbarhed, som Bofra udnytter

Keywords: