Connect with us

technokrata

W32.Lirva.C@mm – áldozatához ragaszkodó féreg

Dotkom

W32.Lirva.C@mm – áldozatához ragaszkodó féreg

A veszélyes Lirva féreg tovább fejlődött: most már egy trójai programot is letölt, hogy még teljesebb mértékben kiszolgáltatottá tehesse a rendszert. A féreg csütörtök délután a Terminal szerkesztőségénél is bepróbálkozott.

A fertőzött e-mail tulajdonságai

Tárgy: egy a következőkből:
Fw: Prohibited customers…
Re: Brigade Ocho Free membership
Re: According to Daos Summit
Fw: Avril Lavigne – the best
Re: Reply on account for IIS-Security
Re: ACTR/ACCELS Transcriptions
Re: The real estate plunger
Fwd: Re: Admission procedure
Re: Reply on account for IFRAME-Security breach
Fwd: Re: Reply on account for Incorrect MIME-header
Re: Vote seniors masters – don´t miss it!
Fwd: RFC-0245 Specification requested…
Fwd: RFC-0841 Specification requested…
Fw: F. M. Dostoyevsky ˝Crime and Punishment˝
Re: Junior Achievement
Re: Ha perduto qualque cosa signora?
Tartalom: az alábbiakból egy:
– Network Associates weekly report: Microsoft has identified a security vulnerability in Microsoft IIS 4.0 and 5.0 that is eliminated by a previously-released patch. Customers who have applied that patch are already protected against the vulnerability and do not need to take additional action. to apply the patch immediately. Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so Patch is also provided to subscribed list of Microsoft Tech Support: Patch: Date
– Restricted area response team (RART) Attachment you sent to %s is intended to overwrite start address at 0000:HH4F To prevent from the further buffer overflow attacks apply the MSO-patch
– Avril fans subscription FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony Vote for I´m with you! Admission form attached below
– Chart attack active list: Vote fo4r I´m with you! Vote fo4r Sk8er Boi!Vote fo4r Complicated!AVRIL LAVIGNE – THE CHART ATTACK!
– AVRIL LAVIGNE – THE BEST Avril Lavigne´s popularity increases:> SO: First, Vote on TRL for I´m With U! Next, Update your pics database! Chart attack active list .>.>
Orginal Message:
Csatolmány: a lenti variációkból választ egyet:
Resume.exe
Download.exe
MSO-Patch-0071.exe
MSO-Patch-0035.exe
Two-Up-Secretly.exe
Transcripts.exe
Readme.exe
AvrilSmiles.exe
AvrilLavigne.exe
Complicated.exe
Singles.exe
Sophos.exe
Cogito_Ergo_Sum.exe
CERT-Vuln-Info.exe
Sk8erBoi.exe
IAmWiThYoU.exe
Phantom.exe
EntradoDePer.exe
SiamoDiTe.exe
BioData.exe
ALavigne.exe
[véletlenszerűen létrehozott].TXT
[véletlenszerűen létrehozott].DOC

A féreg paraméterei

Felfedezésének ideje: 2003. január 8.
Védekezés elkészültének ideje: 2003. január 8.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux, OS/2
Mérete: 34.815 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– képes számos behatolásvédelmi eszköz futó processét leállítani
– számba veszi az éppen nyitott ablakokat és becsukja azokat, amelyeknek fejlécében az alábbi szavak bármelyike megtalálható: virus, anti, McAfee, Virus, Anti, AVP, Norton
– felmásolja magát rejtett és rendszer attributummal a Temporary könyvtárba két, véleletenszerűen választott stringből álló néven; a System, a drivereket tartalmazó és a Kazaa letöltési könyvtárba véleletenszerűen választott stringből álló EXE file formájában
– véletlenszerűen válaszott könyvtárakba véletlenszerű neveken másolja fel magát
– létrehozza az index.htm, index.html, default.htm, default.html állományokat abban a könyvtárban, ahonnan indításra került
– hozzáadja az Avril Lavigne – Muse értéket a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– Windows NT/2k/XP alatt service-ként regisztrálja magát
– létrehozza a HKEY_LOCAL_MACHINE/Software/OvG/Avril Lavigne kulcsot, majd ebben több alkulcsot, amely révén ellenőrizni tudja a féreg fertőzési mechanizmusát
– a Temporary könyvtárban létrehoz egy nem fertőző text file-t (Avril-ii.inf) és egyéb ideiglenes állományokat a Windows Temporary mappájában
– leellenőrzi, van-e aktív Internet-csatlakozás, ha nem, akkor megkísérli az alapértelmezett dialup kapcsolatot felhasználni csatlakozásra
– e-mailcímek után kutatva átnézi a Windows Address Bookját és a következő kiterjesztéssel bíró állományokat: .dbx, .mbx, .wab, .html, .eml, .htm, .tbb, .shtml, .nch és .idx
– az így megszerzett címekre a fenti karakterisztikában továbbítja magát (egy biztonsági hibát kihasználva már akkor beindulhat a féreg működése, ha a felhasználó csak előnézetben látja a levelet; a hiba javítása letölthető a lenti linkről)
– az e-mailezési rutinhoz létrehozza a Temporary könyvtárban a NewBoot.sys állományt, melyet aztán le is töröl
– megkeresi az Icqmapi.dll állományt, ezzel meghatározva az ICQ könyvtárát
– amennyiben fel van telepítve az ICQ a rendszerre, felmásolja magát a System könyvtárba és a kontakt listán található összes személy számára továbbítja magát
– -létrehozza a Script.ini file-t a Mirc könyvtárában, mely révén az #avrillavigne csatornához csatlakozik, s ott is megpróbál terjeszkedni
– megosztott C meghajtók után kutat a hálózaton, ha talál, akkor a távoli rendszer Recycled könyvtárába másolja magát egy véletlenszerűen választott stringből álló néven (EXE formátumban), majd azután módosítja a távoli rendszer autoexec.bat állományát a következő sorral:
@win [a véletlenszerűen választott string].exe
– minden helyi meghajtó Recycled könyvtárába felmásolja magát [véletlenszerűen választott string].exe formátumban, majd módosítja az autoexec.bat állományt, hogy az betöltse a férget rendszerindításkor
– véletlenszerűen választott file-néven bemásolja magát a Kazaa megosztott könyvtárába
– kapcsolódik a http://web.host.kz/ website-hoz és letöltik a BackOrifice nevű trójai programot a System könyvtrába Bo2k.exe néven
– felviszi a SocketListner értéket a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsba
– szintén ugyaninnen megpróbál letölteni egy file-t, ami jelenleg nem érhető el a honlapról
– minden hónap 7-én, 11-én vagy 24-én elindítja a böngészőt és megnyitja a www.avril-lavigne.com oldalt, valamint megjelenít egy grafikus animációt a Windows dekstopján

Megjegyzés: A Lirva valamelyik variánsa a csütörtöki nap folyamán a Terminal szerkesztőségét is ˝megtisztelte˝ jelenlétével, igaz, eredménytelenül.



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek