Connect with us

technokrata

Egyre újabb féreg-variánsok tűnnek fel

Dotkom

Egyre újabb féreg-variánsok tűnnek fel

Az I-Worm.Badtrans második változatával újból megtámadja gépünket. Mit lehet ellene tenni?

A vírust először 2001. novemberben észlelték, és 24-e után már számos Európai fertőzés is történt. A féreg 32 bites Windowsokon terjed. A vírus e-mail üzeneteket küld fertőzött melléklettel, és egy trójai programot is telepít, amely információkat lop a fertőzött gépről. A féreg maga egy Win32 végrehajtható file (PE EXE file). A hossza körülbelül 29 KB, de ez kitömörítés után körülbelül 60 KB-ra növekszik.

A fertőzött file akkor indul el, ha a felhasználó rákattint a mellékletre. Ha a gépre még nem lett letöltve és lefuttatva a nevezetes IFRAME biztonsági rést befoltozó frissítés, akkor a féreg rákattintás nélkül is automatikusan megkapja a vezérlést. Először telepíti a komponenseit a rendszerre és beleír a regisztrációs adatbázisba. A féreg egy további komponenst is létrehoz, egy billentyűzet leütés figyelőt a rendszeren, amely minden a billentyűzeten keresztül beütött szöveget rögzít. A keletkező .DLL állomány szintén különböző neveket vehet fel.

A telepített trójai program neve, a telepítés helye és a regisztrációs kulcs változó. Ezek kódolt formában a trójai file végén találhatóak. A hacker tudja konfigurálni ezeket, mielőtt elküldi az áldozat gépére, vagy mielőtt felteszi a weblapra.

A féreg törölheti az eredeti fertőzött állományt, miután komponenseit sikeresen telepítette, illetve a létrehozott billentyűzet figyelő program hossza is változó lehet.

A fertőzött üzenet elküldéséhez a féreg közvetlenül az SMPT szervert használja. Az áldozatok e-mail címei két módon keletkeznek: .HT és .ASP kiterjesztésű állományokban keres lehetséges címeket vagy a MAPI (Mail Application Programming Interface) funkcióinak
segítségével minden levelet elolvas a Bejövő levelek dossziéban és ezekben keres használható címeket. Ezek után a féreg fertőzött üzeneteket küld. A levél HTML formátumú és a nem védett gépeken igyekszik kihasználni az IFRAME biztonsági rést.

A Feladó/From mezőben vagy az igazi feladó neve szerepel vagy pedig az alábbi hamis címekből lesz kiválasztva:
\\\\\\\\\\\\\\\\
Anna\\\\\\\\\\\\\\
\”
\\\\\\\\\\\\\\\\
JUDY\\\\\\\\\\\\\\
\”
\\\\\\\\\\\\\\\\
Rita Tulliani\\\\\\\\\\
\\\\\\” \\\\\\\\\\\\\\\\
Tina\\\\\\\\\\\\\\
\”
\\\\\\\\\\\\\\\\
Kelly Andersen\\\\\\\\\
\\\\\\”
\\\\\\\\\\\\\\\\\
Andy\\\\\\\\\\\\\\\
\”
\\\\\\\\\\\\\\\\\
Linda\\\\\\\\\\\\\\
\\”
\\\\\\\\\\\\\\\\\
Mon S\\\\\\\\\\\\\\
\\”
\\\\\\\\\\\\\\\\\
Joanna\\\\\\\\\\\\\\
\\”
\\\\\\\\\\\\\\\\\
JESSICA BENAVIDES\\\\\\\\
\\\\\\\\”
\\\\\\\\\\\\\\\\\
Administrator\\\\\\\\\\
\\\\\\”
\\\\\\\\\\\\\\\\\
Admin\\\\\\\\\\\\\\
\\”
\\\\\\\\\\\\\\\\\
Support\\\\\\\\\\\\\
\\\”
\\\\\\\\\\\\\\\\\
Monika Prado\\\\\\\\\\\
\\\\\”
\\\\\\\\\\\\\\\\\
Mary L. Adams\\\\\\\\\\
\\\\\\”
\\\\\\\\\\\\\\\\\



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek