Connect with us

technokrata

A következő, kritikus Windows hibára hajtó féreg

Dotkom

A következő, kritikus Windows hibára hajtó féreg

Igen rövid idő alatt megérkezett a második féreg, ami a Windows-ban található RPC hibát igyekszik kihasználni.

A féreg paraméterei

Felfedezésének ideje: 2003. augusztus 12.
Utolsó frissítés ideje: 2003. augusztus 13.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 24.064, 43.520 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba vagy nstask32.exe, vagy winlogin.exe néven
– bemásolja magát a Windows Temp könyvtárába néhány véletlenszerűen generált nevű állománnyal
– szintén a System könyvtárban létrehoz egy DLL állományt, melynek nevét a következő kettőből választja: win32sockdrv.dll, yuetyutr.dll
– a féreg a felmásolt DLL-t az Explorer.exe process-ébe illeszti, mint egy modult; ennek révén terjed IRC-n keresztül; illetve szintén a DLL állomány révén használja ki a Windows RPC sérülékenységét
– hozzáadja az NDplDeamon=nstask32.exe vagy az NDpLDeamon=winlogin.exe bejegyzést a következő Registry kulcsokhoz:
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Runonce
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
– a féreg egyik variánsa hozzáadja a winlogon=winlogin.exe bejegyzést is a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run kulcshoz
– a következő sorokat illeszti be a System.ini állományba, feltéve, hogy Windows 9x/Me környezetben van:
[boot]
shell = explorer.exe [a féregfile, például nstask32.exe]
– Windows NT/2000/XP alatt hozzáadja a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon Registry kulcshoz a következő két bejegyzés valamelyikét:
. Shell=explorer.exe winlogin.exe
. Shell=explorer.exe nstask32.exe
– saját IRC-kliense révén egy előre meghatározott IRC-szerverhez csatlakozik, ahol egy csatornához kapcsolódva alkotójától érkező parancsokra vár (ezek egyike lehet a már korábban említett RPC sérülékenység kihasználása: véletlenszerűen IP-címeket generál; megvizsgálja, hogy található-e ott számítógép; majd a 113-as TCP porton keresztül adatot küld a hiba kiaknázása végett)
– létrehozza a rejtett Cmd.exe állományt, amely a 4444-es TCP porton hallgatózik, lehetővé téve a támadónak a kiszolgáltatott rendszer irányítását
– létrehoz egy TFTP-szervert, és a 69-es UDP porton hallgatózik; miután kap egy kérelmet egy távoli számítógéptől, ahhoz csatlakozik; elküldi számára az Nstask32.exe vagy a Winlogin.exe file-t, majd utasítja a távoli rendszert a féreg futtatására



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek