Connect with us

technokrata

Ismét a súlyos RPC-hibára utazik egy féregvírus

Dotkom

Ismét a súlyos RPC-hibára utazik egy féregvírus

A Raleka nevű féreg már a sokadik abban a sorban, amiben azok a károkozók találhatók, melyek a súlyos Windows biztonsági hiba kihasználásával szaporodnak.

A féreg paraméterei

Felfedezésének ideje: 2003. augusztus 26.
Utolsó frissítés ideje: 2003. augusztus 28.
Veszélyeztetett rendszerek: Windows 2k/XP
Nem érintett rendszerek: Windows 3.x/9x/Me/NT, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 14.480 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– megkísérli letölteni az NTrootkit.exe és NTRootkit.reg állományokat egy előre meghatározott helyről; amennyiben ez sikerül neki, le is futtatja az EXE file-t
– megkísérel a 6667-es porton a következő IRC-szerverekhez kapcsolódni:
. irc.servercentral.net
. irc.secsup.org
. irc.nac.net
. irc.mpls.ca
. irc.mindspring.com
. irc.limelight
. us.irc.isprime.com
. irc.isdnet.fr
. irc.ipv6.homelien.no
. irc.inter.net.il
. irc.inet.tele.dk
. irc.homelien.no
. irc.prison.net
. irc.desync.com
. irc.daxnet.no
. irc.csbnet.se
. irc.aol.com
. irc.blessed.net
. irc.banetele.no
. irc.red-latina.org
. irc.Ultra-IRC.net
. irc.ircsoulz.net
– amennyiben egyikhez sem tud hozzáférni, a client.hopto.org URL-ről további IRC-szerver címeket szerez be
– ha sikeres volt a csatlakozás, akkor egy előre meghatározott csatornához kapcsolódik (a nickneve a megfertőzött számítógép nevének első négy karaktere, majd ezt követően véletlenszámok sorozata lesz)
– a kiszolgáltatott rendszer IP-címét elküldi a csatornára, illetve innen különböző parancsokat is kaphat
– megnyitja a 32767-es portot, és távoli kapcsolatra várakozik; amint ez létrejön, visszaküldi a következő négy file valamelyikét: [aktuális file-név], service.exe, ntrootkit.exe vagy ntrootkit.reg
– kétszáz végrehajtási szállal igyekszik más számítógépeket megfertőzni, kihasználva a Microsoft DCOM RPC sérülékenységet, a következő két módon:
. az első száz szál révén a fertőzött számítógép IP-címével egy tartományba eső PC-ket támadja (az IP-cím első két jegye változatlan marad, a második kettőt pedig véletlenszerűen cserélgeti)
. a második száz szál az IP-cím első három jegyét véletlenszerűen határozza meg, majd a negyedik jegy értékét 0-tól 255-ig végigpróbálgatja
– amennyiben sikeresen megfertőzött egy rendszert, megnyit egy véletlenszerűen választott (ám 32767-nél magasabb) portot
– létrehozza a down.com állományt a távoli számítógépen, majd le is futtatja ott
– létrehoz két logfile-t (Rpcss.ini és Svchost.ini), ebben tárolja az összes IP-címet, amit megkísérelt már megfertőzni; így többé nem próbálkozik azon címekkel, amiken egyszer már átment



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek