Connect with us

technokrata

Blaster.K – a tavaly augusztusi féreg újabb változata

Dotkom

Blaster.K – a tavaly augusztusi féreg újabb változata

Felbukkant a Blaster K változata, mely még mindig az RPC-hiba kihasználására igyekszik építeni.

A féreg paraméterei

Felfedezésének ideje: 2004. február 3.
Utolsó frissítés ideje: 2004. február 4.
Veszélyeztetett rendszerek: Windows 2k/XP
Nem érintett rendszerek: Windows 3.x!9x/Me/NT/2k3, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 6.688 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– leellenőrzi, hogy a számítógép megfertőződött-e már, elkerülendő a felülfertőzést
– hozzáadja a windows shellext.32=mschost.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– az esetek 40 százalékában a következőképp hoz létre egy IP-címet:
. a host IP A.B.C.D, ahol D értéke 0 lesz, A és B értéke pedig megegyezik a megfertőzött számítógép IP-címének első két tagjával
. amennyiben C nagyobb, mint 20, kivon belőle egy 20-nál kisebb véletlenszámot
. amennyiben létrehozta az IP-címet, megkísérli az ezen található számítógépen kihasználni az RPC hibát, majd mindig egyet hozzáadva az IP-cím utolsó számához, újabb és újabb számítógépekkel próbálkozik
– az esetek 60 százalékában teljesen véletolenszerűen hoz létre IP-címeket

A támadás folyamata

– a 135-ös TCP porton keresztül elküld egy olyan adatcsomagot, mellyel ki tudja használni a Windows RPC hibát (néha olyan adatot küldhet a célszámítógépnek, amitől annak rendszere összeomolhat); ez az esetek 80 százalékában Windows XP-t céloz, a fennmaradó 20 százaléknál Windows 2k-t
– létrehozza a rejtett Cmd.exe állományt, mely a 4444-es TCP porton hallgatózik
– a 69-es UDP porton hallgatózik; ha kérelmet kap, parancsot küld a távoli számítógépnek a fertőzött gazdagéppel való kapcsolat újrafelvételére, ahonnan letölti és futtatja az mschost.exe állományt
– ha az aktuális dátum szeptember és december közé esik, vagy a jelenlegi dátum a hónap 15-e utáni, a féreg DoS-támadást kísérel meg a kimble.org website ellen; ez azonban csak a következő feltételek esetén valósul meg:
. a féreg olyan Windows XP-s számítógépen fut, amelyik már korábban újra lett indítva
. a féreg olyan Windows 2000-s számítógépen fut, amelyik korábban még nem lett újraindítva (kivéve, ha Administratorként van bejelentkezve az aktuális felhasználó)
– a féreg a következő szöveget tartalmazza, melyet sosem jelenít meg:
Can you hear me? I LOVE YOU SAN!!
Sucky gates why do you made this windows? Stop fooling around and make good things!!!



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek