Connect with us

technokrata

W32.Opaserv.J.Worm – társainál veszélyesebb féregvírus

Dotkom

W32.Opaserv.J.Worm – társainál veszélyesebb féregvírus

Az Opaserv újabb változata képes önmagát frissíteni, ezen kívül trójai funkciókkal is rendelkezik.

A féreg paraméterei

Felfedezésének ideje: 2002. december 20.
Védekezés elkészültének ideje: 2002. december 27.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux, OS/2
Mérete: 18.432 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: közepes
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– leellenőrzi a Srv32Old bejegyzés meglétét a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices Registry kulcsban
– amennyiben létezik, a féreg letörli azt az állományt, amire a bejegyzés mutat
– ha nem létezik, akkor a féreg megkeresi az Srv32 érték meglétét a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices Registry kulcsban, ha nem létezik, hozzáadja az Srv32 C:/WINDOWS/Srv32.exe bejegyzést
– leellenőrzi, hogy a C:/WINDOWS/Srv32.exe állomány már volt-e futtatva/megnyitva
– ha nem, ezen a néven felmásolja magát és hozzáadja a Srv32 bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices Registry kulcshoz
– létrehozza az Srv3231415 nevű mutexet, hogy biztos lehessen abban, csak egyszer került futtatásra
– amennyiben még nem futott, akkor service processként regisztrálja magát
– a C meghajtó megosztásaiba felmásolja magát svr32.exe néven
– Windows 9x/Me alatt ki tud használni egy biztonsági hiányosságot, melynek révén a jelszó ismeretének hiányában is képes hozzáférni a megosztott meghajtókhoz; az ezt javító patch a lenti linkről tölthető le
– módosítja a Win.ini állományt, a következő sor adja hozzá: run=c:/windows/src32.exe
– a féregben meghatározott URL-ről képes frissíteni magát, megkísérelheti letölteni az Sccss file-t
– véletlenszerűen TCP és UDP portokat nyit meg, kiszolgáltatottá téve ezáltal a fertőzött rendszert



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek