Connect with us

technokrata

A veszélyes Blaster féreg két új változata

Dotkom

A veszélyes Blaster féreg két új változata

Sokat nem kellett várni a súlyos Windows RPC hibát kihasználó féreg mutálódására – a két új változat közti minimális eltérés miatt egy hírben mutatjuk be mindkettőt.

A féreg paraméterei

Felfedezésének ideje: 2003. augusztus 13.
Utolsó frissítés ideje: 2003. augusztus 13.
Veszélyeztetett rendszerek: Windows 2k/XP
Nem érintett rendszerek: Windows 3.x/9x/Me/NT, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete:
B változat: 7.200 byte
C változat:
. index.exe (32.045 byte) – a féreg file-ja
. root32.exe (19.798 byte) – a Backdoor.Lithium trójai
. teekids.exe (5.360 byte) – a féreg komponense
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza a BILLY nevű mutexet, hogy megakadályozza a memóriába való többszöri bekerülését
– hozzáadja a windows auto update=penis32.exe bejegyzést (B változat esetén) vagy a Microsoft Inet Xp..=teekids.exe bejegyzést (C változat esetén) a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– az esetek 40 százalékában a következőképp hoz létre egy IP-címet:
. a host IP A.B.C.D, ahol D értéke 0 lesz
. amennyiben C nagyobb, mint 20, kivon belőle egy 20-nál kisebb véletlenszámot
. amennyiben létrehozta az IP-címet, megkísérli az ezen található számítógépen kihasználni az RPC hibát, majd mindig egyet hozzáadva az IP-cím utolsó számához, újabb és újabb számítógépekkel próbálkozik
– az esetek 40 százalékában a következőképp hoz létre egy IP-címet:
. a host IP A.B.C.D, ahol D értéke 0 lesz
. A, B, C értékét egy 0 és 255 közé eső véletlenszámként hozza létre

A támadás folyamata

– a 135-ös TCP porton keresztül elküld egy olyan adatcsomagot, mellyel ki tudja használni a kevesebb mint egy hónapja ismertetett Windows RPC hibát (néha olyan adatot küldhet a célszámítógépnek, amitől annak rendszere összeomolhat)
– létrehozza a rejtett Cmd.exe állományt, mely a 4444-es TCP porton hallgatózik
– a 69-es UDP porton hallgatózik; ha kérelmet kap, parancsot küld a távoli számítógépnek a fertőzött gazdagéppel való kapcsolat újrafelvételére, ahonnan letölti és futtatja az Msblast.exe állományt
– ha az aktuális dátum augusztus, vagy a jelenlegi dátum a hónap 15-e utáni, a féreg DoS-támadást kísérel meg a Windows Update website-ja ellen
– a féreg a következő szöveget tartalmazza, melyet sosem jelenít meg:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!

Megjegyzés

A Terminal korábbi hírei között megtalálható a Blaster eltávolításának menete, aminek elolvasását mindenkinek melegen ajánljuk, akinek a rendszerét megtámadta a féreg.



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek