Connect with us

technokrata

Újabb támadóféreg a Microsoft ellen

Dotkom

Újabb támadóféreg a Microsoft ellen

A Doomjuice igen hamar mutálódott, de alapelve nem változott: továbbra is a Mydoom féreg által megfertőzött számítógépeken terjeszti magát.

A féreg paraméterei

Felfedezésének ideje: 2004. február 11.
Utolsó frissítés ideje: 2004. február 11.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 5.120 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza a sncZZmtx_133, mutexet, amivel megakadályozza, hogy egyszerre többször is betöltődjön a memóriába
– felmásolja magát a System könyvtárba Regedit.exe névvel
– hozzáadja a NeroCheck = [System elérési útvonala]/regedit.exe bejegyzést a következő Registry kulcsokhoz:
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
– a 3127-es TCP porton kísérel meg csatlakozni távoli számítógépekhez (véletlenszerűen generált IP-címeken), melyet a Mydoom A változatának backdoor komponense nyitott meg; tulajdonképpen így terjed a féreg, mely sikeres behatolás után felmásolódik a távoli számítógépre, ahol a Mydoom lefuttatja
– DoS-támadást intéz a www.microsoft.com URL ellen HTTP Get kérelmek küldésével, amennyiben az aktuális rendszerdátum nem január, illetve az adott hónap 8-a előtt vagy 12-e után tart a PC rendszerdátuma



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek