home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / modules / nessus-2.2.8.mo / usr / lib / nessus / plugins / codered_x.nasl < prev    next >
Encoding:
Text File  |  2005-03-31  |  2.7 KB  |  106 lines
  1. #
  2. # Copyright 2001 by Noam Rathaus <noamr@securiteam.com>
  3. #
  4. # See the Nessus Scripts License for details
  5. #
  6. #
  7.  
  8. if(description)
  9. {
  10.  script_id(10713); 
  11.  script_bugtraq_id(2880);
  12.  script_version ("$Revision: 1.24 $");
  13.  script_cve_id("CVE-2001-0500");
  14.  
  15.  name["english"] = "CodeRed version X detection";
  16.  script_name(english:name["english"]);
  17.  
  18.  desc["english"] = "Your machine is infected with the 'Code Red' worm. Your Windows system seems to be compromised.
  19.  
  20. Solution:
  21. 1) Remove the file root.exe from both directories:
  22. \inetpub\scripts
  23.  
  24. and
  25.  
  26. \program files\common files\system\msadc
  27.  
  28. 2) Install an updated antivirus program (this will remove the Explorer.exe Trojan)
  29. 3) Set SFCDisable in hklm\software\microsoft\windows nt\currentversion\winlogon to: 0
  30. 4) Remove the two newly created virtual directories: C and D (Created by the Trojan)
  31. 5) Make sure no other files have been modified.
  32.  
  33. It is recommended that hosts that have been compromised by Code Red X would reinstall the operating system from scratch and patch it accordingly.
  34.  
  35. Risk factor : High
  36.  
  37. Additional information:
  38. http://www.securiteam.com/securitynews/5GP0V004UQ.html
  39. http://www.securiteam.com/windowsntfocus/5WP0L004US.html
  40. http://www.cert.org/advisories/CA-2001-11.html
  41. http://www.microsoft.com/technet/itsolutions/security/tools/redfix.asp
  42.  
  43. ";
  44.  
  45.  script_description(english:desc["english"]);
  46.  
  47.  summary["english"] = "CodeRed version X detection";
  48.  script_summary(english:summary["english"]);
  49.  
  50.  script_category(ACT_GATHER_INFO);
  51.  
  52.  script_copyright(english:"This script is Copyright (C) 2001 SecuriTeam");
  53.  family["english"] = "Backdoors";
  54.  script_family(english:family["english"]);
  55.  
  56.  script_dependencie("find_service.nes", "http_version.nasl", "www_fingerprinting_hmap.nasl");
  57.  script_require_ports("Services/www", 80);
  58.  exit(0);
  59. }
  60.  
  61. #
  62. # The script code starts here
  63. #
  64. include("http_func.inc");
  65.  
  66. port = get_http_port(default:80);
  67.  
  68. if(!get_port_state(port))exit(0);
  69. sig = get_kb_item("www/hmap/" + port + "/description");
  70. if ( sig && "IIS" >!< sig ) exit(0);
  71.  
  72. soc = http_open_socket(port);
  73. if(soc)
  74. {
  75.  req = http_get(item:"/scripts/root.exe?/c+dir+c:\+/OG", port:port);
  76.  send(socket:soc, data:req);
  77.  buf = http_recv(socket:soc);
  78.  http_close_socket(soc);
  79.  
  80.  pat1 = "<DIR>";
  81.  pat2 = "Directory of C";
  82.  
  83.  if ( ("This program cannot be run in DOS mode" >< buf) || (pat1 >< buf) || (pat2 >< buf) )
  84.  {
  85.   security_hole(port);
  86.   exit(0);
  87.  }
  88.  else
  89.  {
  90.   soc = http_open_socket(port);
  91.   if ( ! soc ) exit(0);
  92.   req = http_get(item:"/c/winnt/system32/cmd.exe?/c+dir+c:\+/OG", port:port);
  93.   send(socket:soc, data:req);
  94.  
  95.   buf = http_recv(socket:soc);
  96.   http_close_socket(soc);
  97.  
  98.   if (("This program cannot be run in DOS mode" >< buf) || (pat1 >< buf) || (pat2 >< buf) )
  99.   {
  100.    security_hole(port);
  101.    exit(0);
  102.   }
  103.  }
  104. }
  105.  
  106.