Connect with us

technokrata

Új változat a Blaster féregvírusból

Dotkom

Új változat a Blaster féregvírusból

Elődjéhez hasonlóan a másfél hónappal korábban felfedezett Windows sérülékenységet aknázza ki a Blaster E variánsa.

A féreg paraméterei

Felfedezésének ideje: 2003. augusztus 28.
Védekezés elkészültének ideje: 2003. augusztus 29.
Veszélyeztetett operációs rendszerek: Windows 2k/XP
Nem érintett operációs rendszerek: Windows 3.x/9x/Me/NT, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 6.176 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– leellenőrzi, hogy a számítógép megfertőződött-e már, elkerülendő a felülfertőzést
– hozzáadja a windows automation=mslaugh.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– az esetek 40 százalékában a következőképp hoz létre egy IP-címet:
. a host IP A.B.C.D, ahol D értéke 0 lesz
. amennyiben C nagyobb, mint 20, kivon belőle egy 20-nál kisebb véletlenszámot
. amennyiben létrehozta az IP-címet, megkísérli az ezen található számítógépen kihasználni az RPC hibát, majd mindig egyet hozzáadva az IP-cím utolsó számához, újabb és újabb számítógépekkel próbálkozik
– az esetek 60 százalékában teljesen véletolenszerűen hoz létre IP-címeket

A támadás folyamata

– a 135-ös TCP porton keresztül elküld egy olyan adatcsomagot, mellyel ki tudja használni a Windows RPC hibát (néha olyan adatot küldhet a célszámítógépnek, amitől annak rendszere összeomolhat)
– létrehozza a rejtett Cmd.exe állományt, mely a 4444-es TCP porton hallgatózik
– a 69-es UDP porton hallgatózik; ha kérelmet kap, parancsot küld a távoli számítógépnek a fertőzött gazdagéppel való kapcsolat újrafelvételére, ahonnan letölti és futtatja az mslaugh.exe állományt
– ha az aktuális dátum szeptember és december közé esik, vagy a jelenlegi dátum a hónap 15-e utáni, a féreg DoS-támadást kísérel meg a kimble.org website ellen; ez azonban csak a következő feltételek esetén valósul meg:
. a féreg olyan Windows XP-s számítógépen fut, amelyik már korábban újra lett indítva
. a féreg olyan Windows 2000-s számítógépen fut, amelyik korábban még nem lett újraindítva (kivéve, ha Administratorként van bejelentkezve az aktuális felhasználó)
– a féreg a következő szöveget tartalmazza, melyet sosem jelenít meg:
I dedicate this particular strain to me ANG3L – hope yer enjoying yerself and dont forget the promise for me B/DAY !!!!



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek