Connect with us

technokrata

Maguk a férgek is felveszik a harcot a Mydoommal

Dotkom

Maguk a férgek is felveszik a harcot a Mydoommal

A Welchia D változata továbbra is igyekszik a Mydoomot kiirtani, ezzel együtt az ezen élősködő Doomjuice-t is el tudja távolítani a fertőzött rendszerekből.

A féreg paraméterei

Felfedezésének ideje: 2004. február 23.
Utolsó frissítés ideje: 2004. február 23.
Veszélyeztetett rendszerek: Windows 2k/XP
Nem érintett rendszerek: Windows 3.x/9x/Me/NT, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nem ismert
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Általános tudnivalók

A Welchia féreg eredeti változata a Blaster kiirtására született meg. Terjedése nem e-mailen, hanem két sérülékenység (a tavaly júliusban bejelentett RPC-hiba és a tavaly márciusi WebDav-hiba) kihasználásával történt. Az új verzió immáron a Mydoom és a Doomjuice két változatának megsemmisítésével foglalkozik; szaporodásához a fent említett két biztonsági hiányosság mellett még a ˝Workstation service buffer overrun˝ névre hallgató sebezhetőséget is felhasználja. Ezenfelül a Windows 2000 rendszerekbe való behatoláshoz a ˝Locator service vulnerability˝ sérülékenységet is kiaknázza.

Aktiválódása esetén lezajló események

– létrehozza a WksPatch_Mutex nevű mutexet, hogy megelőzze a memóriába való többszöri betöltődését
– felmásolja magát a System könyvtárban található drives mappába svchost.exe néven
– létrehozza a következő service-t:
Név: WksPatch
Binary: [System elérési útvonala]/drives/svchost.exe
Kijelzett név: az alábbi sztringekből áll össze:
. System, Security, Remote, Routing, Performance, Network, License, Internet
. Logging, Manager, Procedure, Accounts, Event
. Provider, Sharing, Messaging, Client;
tehát például a System Manager Client service a task managerben a Welchia B változatának jelenlétére utal
– letörli az PrcPatch service-t, ha létezik
– leellenőrzi, hogy a rendszer megfertőzödött-e a Mydoom A vagy B változatával illetve a Doomjuice A vagy B variánsával
– amennyiben ráakad a kártevőkre, a következőket teszi:
. letörli a System könyvtárból a Explorer.exe (Mydoom.B), a TaskMon.exe (Mydoom.A), az intrenat.exe (Doomjuice.A) és a Regedit.exe (Doomjuice.B) állományokat
. ugyaninnen megkísérli letörli a shimgapi.dll és a ctfmon.dll állományokat (ám mivel azelőtt tenné ezt meg, hogy a futó process-eket leállítaná, ez esetben nem jár sikerrel)
. letörli a Taskmon és az Explorer értékét a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run és a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcsokból
. a Doomjuice eltávolításához a következő két Registry kulcsot szünteti meg:
HKLM/Software/Microsoft/Windows/CurrentVersion/Run/Gremlin
HKLM/Software/Microsoft/Windows/CurrentVersion/Run/NeroCheck
. a HKEY_LOCAL_MACHINE/CLSID/{E6FB5E20-DE35-11CF-9C87-00AA005127ED}/InProcServer32 Registry kulcsban visszaállítja a következő bejegyzést: @=[SystemRoot]/System32/webcheck.dll

– felülírja a HOSTS file-okat a következő szöveggel:

#
#

127.0.0.1 localhost
– a 135-ös TCP porton keresztül az RPC-hiba kihasználásával behatol egy távoli a rendszerbe, illetve a 80-as TCP porton át a WebDav sérülékenységet kiaknázva képes bejutni oda; ezenfelül a 445-ös TCP porton keresztül megpróbálja a Workstation service buffer overrun és a Locator service vulnerability hibákat kiaknázni
– egy véletlenszerűen választott TCP porton webszervert indít, ahonnan a sebezhető rendszerek letölthetik a WksPatch.exe állományt
– a Virtual Roots és az IIS Help könyvtárakban (amennyiben az adott számítógép kódlapja japán) a következő kiterjesztéssel bíró file-ok után keres: .shtml, .shtm, .stm, .cgi, .php, .html, .htm, .asp
– felülírja ezeket a jobb oldalon látható .html állománnyal
– a Microsoft Windows Update weboldaláról (amennyiben a fertőzött rendszer kínai, koreai vagy angol) letölti a megfelelő javítást, és fel is telepíti
– amint ez rendben lezajlott, a féreg újraindítja a számítógépet, így a telepítés véglegessé válik
– időnként leellenőrzi a rendszerdátumot; ha az 2004. június 1-e vagy annál későbbi, illetve ha már legalább 120 napja fut a rendszerben, akkor a féreg letiltja a működését és letörli magát a rendszerből



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek