Exploit.IIS.Beavuh

Jest to exploit wykorzystuj膮cy luk臋 w zabezpieczeniach zwan膮 MS IIS ".printer". Firma Microsoft opisa艂a j膮 w biuletynie MS01-23 opublikowanym 1 maja 2001.

Exploit pozwala na uzyskanie zdalnego dost臋pu do pow艂oki systemu Windows NT i mo偶e by膰 uruchomiony na atakowanym komputerze je偶eli zainstalowano w nim serwer IIS i nie zainstalowano przeznaczonej dla niego 艂aty.

Kod programu jest zaszyfrowany. Po zdekodowaniu szkodnik skanuje pami臋膰 systemow膮 w poszukiwaniu biblioteki kernel32.dll, po czym pobiera z niej offset funkcji GetProcAddress, kt贸ra p贸藕niej wykorzystywana jest do uzyskania adres贸w kilku innych adres贸w API (zar贸wno z biblioteki kernel32.dll, jak i wsock32.dll).

Nast臋pnie szkodnik 艂膮czy si臋 z adresem okre艣lonym przez hakera, uruchamia instancj臋 pliku cmd.exe i przekierowuje wej艣cie oraz wyj艣cie pow艂oki do gniazdka, do kt贸rego atakuj膮cy ma dost臋p.