Connect with us

technokrata

Összetett működésű, társainál jóval bonyolultabb féregvírus

Dotkom

Összetett működésű, társainál jóval bonyolultabb féregvírus

A Mumu nevű féreg komplikált működési mechanizmussal rendelkezik; a rendszerekben használt gyenge jelszavak kihasználásával terjed.

A féreg paraméterei

Felfedezésének ideje: 2003. június 2.
Védekezés elkészültének ideje: 2003. június 3.
Veszélyeztetett operációs rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett operációs rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: változó
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

A féreg részei

. 10.bat: egy ártalmas batch file
. hack.bat: egy ártalmas batch file
. hfind.exe: egy kártevő eszköz, mely tulajdonképpen a Hacktool.Hacline
. ipc.bat: egy ártalmas batch file.
. muma.bat: egy ártalmas batch file.
. ntservice.bat: egy ártalmas batch file, ami leállítja az Application service-t, majd futtatja az ntservice.exe-t -install argumentummal; végül ismét elindítja az Application service-t
. ntservice.exe: egy UPX csomagolt futtatható állomány, mely létrehozza az NTService.ini nevű service-t
. NTService.ini: Application név alatt induló service nwiz.exe: egy fertőzésmentes alkalmazás az Nvidia-tól
. nwiz.in_: egy konfigurációs állomány
. nwiz.ini: egy konfigurációs állomány
. ipcpass.txt: egy szöveges állomány
. tihuan.txt: egy szöveges állomány
. rep.exe: egy nem fertőző állomány, mely stringek cseréjére szolgál
. psexec.exe: egy nem fertőző állomány a Sysinternals-tól, mellyel távolról lehet processeket indítani
. random.bat: egy ártalmas batch file.
. replace.bat: egy ártalmas batch file.
. ss.bat: egy olyan batch file, ami létrehoz egy admin felhasználót, illetve a távoli gépen futtatja a psexec nevű állományt
. start.bat: egy ártalmas batch file.
. pcmsg.dll: a pcGhost nevű alkalmazás nem fertőző állománya

Aktiválódása esetén lezajló események

– először lefut a Start.bat, amely számos másik állományt indít el
– felméri az összes állományt a C: meghajtótól a H:-ig, majd elmenti egy LAN.LOG nevű állományba a neveiket; amennyiben a file-ok közül akár csak egynek is van ˝MU˝ string a nevében, elindítja az nwiz.exe állományt; ezt követően a LAN.LOG törlésre kerül
– letörli az ipcfind.txt nevű állományt, majd meghívja a Hfind.exe-t; ennek a parancssori paraméterei széles tartományt felölelő IP-címek lesznek (az első két számjegy véletlenszerűen kerül kiválasztásra, a második kettő .0.1-től indul és egészen .0.255-ig tart)
– a Hfind.exe megkísérel jelszavakat találni az adminisztratív megosztások révén, s az eredményt az ipcfind.txt állományba menti; a következő sémákat használja bejutásra:
. password
. passwd
. admin
. pass
. 123
. 1234
. 12345
. 123456
. [üres]
– felülírja a Tihuan.txt állományt az ipcfind.txt-vel
– az összes olyan accountnál található System könyvtárba felmásolja a fenti állományokat, melyekbe a Hfind.exe bele tudott hatolni
– amennyiben az állományok felmásolása sikeresen megtörtént, a féreg megkísérli elindítani a PcExec.exe állományt; ez tulajdonképpen beindítja a féreg működését a távoli számítógépen
– a féreg végrehajtatja a netstat parancsot a rendszeren, majd meghívja a Near.bat állományt
– Windows NT/2000/XP alatt létrehoz egy service-t (Application), melynek révén a Windows minden egyes indulásakor elindításra kerül az Ss.bat állomány is
– az Ss.bat állomány létrehozhat vagy módosíthatja az admin accountot; jelszavát KKKKKKK-ra írhatja át, illetve hozzáadhatja az Administrators csoporthoz
– belogol egy e-mail szerverre és levelet küld alkotójának – legalábbis az eredeti elképzelés szerint, mert a féreg ezen része nem úgy működik, ahogy azt írója eltervezte



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek