Connect with us

technokrata

Hibás MPEG kodek? Nem, féregvírus fertőzi a számítógépet!

Dotkom

Hibás MPEG kodek? Nem, féregvírus fertőzi a számítógépet!

Számos változatot megélt már az OptixPro, az év elején egy újabb variánssal gazdagodott a trójai program családfája. Ezúttal jibás MPEG kodek álcája alatt igyekszik végrehajtani működési mechanizmusát, melynek végén a támadó akár file-okat is letörölhet a merevlemezről, vagy le is fagyaszthatja az operációs rendszert.

A trójai program tulajdonságai

Felfedezésének ideje: 2003. január 3.
Utolsó frissítés ideje: 2003. január 3.
Veszélyeztetett rendszerek: Windows 3.x/9x/Me/NT/2k/XP, Microsoft IIS
Nem érintett rendszerek: Macintosh, OS/2, UNIX, Linux
Mérete: 407.552 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódásakor bekövetkező események

– megjelenít egy Error fejlécű, Invalid codec detected, possible corrupt .mpg szövegű álhibaüzenetet
– felmásolja magát a System könyvtárba netupd.exe néven
– a Netupd.exe állományra mutató bejegyzéseket hoz létre a következő Registry kulcsokban:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
– a Windows könyvtárba másolja a Wmmiexe.exe-t; ez egy trójai program
– a HKEY_LOCAL_MACHINE/Software/CLASSES/exefile/shell/open/command Registry kulcs Default értékét megváztatja a következőre: wmmiexe.exe ˝%1˝ %*
– a fenti módosítás révén minden EXE állomány megnyitásakor futtatásra kerül a trójai is
– Windows 9x/Me alatt módosítja a System.ini állományt a következőképp:
[boot]
Shell=Explorer.exe C:/[System elérési útvonala]/netupd.exe
– Windows 9x/Me alatt módosítja a Win.ini állományt a következőképp:
[windows]
Run=C:/[System elérési útvonala]/netupd.exe
– képes behatolásvédelmi programok futó processeit leállítani
– a rendszerben tárol jelszavakat megszerzi, bizalmas információkhoz pedig a billentyűzet-leütés figyelésével jut hozzá
– e-mailen keresztül értesíti a kliens oldalt, majd parancsokra vár

A trójai kínálta lehetőségek

– rendszer- és hálózati információk kiszolgáltatása
– AOL AIM részleteinek megszerzése
– zavaró műveletek végrehajtása
– a trójai telepítésének menedzselése
– file-ok feltöltése és futtatása
– az Internet Explorer kezdőlapjának megváltoztatása
– a Windows 9x/Me alatt ismert hiba kihasználásával való rendszerösszeomlás véghezvitele



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek