Connect with us

technokrata

Backdoor.Coreflood – szinte kiirthatatlan kártevő

Dotkom

Backdoor.Coreflood – szinte kiirthatatlan kártevő

A minap megjelent trójai program folyamatosan figyeli a rendszerleíró adatbázist; amint megpróbálja onnan valaki vagy valami kipenderíteni, máris visszaírja magát.

A trójai program tulajdonságai

Felfedezésének ideje: 2002. november 29.
Utolsó frissítés ideje: 2002. december 2.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, Unix, Linux
Mérete: 43.008, 24.576 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódásakor bekövetkező események

– két részből áll: az EXE file a betöltőprogram, a DLL pedig az elsődleges kódot tartalmazza
– aktiválódásakor kicsomagolja magát a DLL állományból és bemásolja magát a System könyvtárba előre kiszámíthatatlan néven
– ezután az EXE állomány meghívja a DLL file egyik funkcióját, ennek révén futtatásra kerül a főkód
– a főkód képes folyamatosan figyelni az Epxlorer.exe processét, ezáltal minden olyan műveletet megjegyezni, amely az Explorer.exe kontextusában zajlik
– hozzáadja a [file-név] [System elérési útvonala]/[file-név kiterjesztéssel] bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– folyamatosan monitorozza a Registry-t is, és ha ez a bejegyzés módosításra vagy törlésre kerülne, akkor újra hozzáadja magát
– egy speciális IRC csatornához kapcsolódik, majd parancsokra vár
– a rendszerbe behatoló akár DoS támadást is indíthat más számítógép-rendszerek ellen



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek