Connect with us

technokrata

File-cserélő szoftvereken terjedő trójai program

Dotkom

File-cserélő szoftvereken terjedő trójai program

A Gobot nevű trójai program file-csere programok révén és a Mydoom féreg által korábban nyitott hátsó kapukon keresztül terjed.

A trójai program paraméterei

Felfedezésének ideje: 2004. május 6.
Utolsó frissítés ideje: 2004. május 7.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: változó
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: könnyű

Aktiválódása után bekövetkező események

– véletlenszerűen létrehozott néven bemásolja magát a Windows könyvtárba
– hozzáad egy, erre a file-ra mutató bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– megkísérli a rendszerre telepített behatolásvédelmi szoftverek futó process-einek leállítását
– minden, a helyi hálózaton keresztül megosztott C meghajtóhoz csatlakozni próbál, s ha sikerül, akkor a távoli PC C:/Documents and Settings/All Users/Start Menu/Programs/Startup könyvtárába !ReadMe.exe néven felmásolja magát
– megkísérli elküldeni magát a Mydoom által korábban telepített hátsó kapukon (backdoor) keresztül más számítógépekre
– bemásolja magát a rendszeren levő megosztott könyvtárakba (Kazaa, Edonkey, Morpheus, XoloX, ShareAza, LimeWire), különböző, figyelemfelkeltő neveken
– hozzáfűzheti magát minden .exe állományhoz a fenti könyvtárakban
– egy előre meghatározott IRC szerverhez csatlakozik, és alkotójától érkező parancsokra vár

A trójai kínálta lehetőségek

– parancsok futtattása
– file-ok letöltése FTP-n és HTTP-n keresztül
– adatok megszerzése a Registrty-ből
– számítógép újraindítása
– process-ek kilistázása
– process-ek leállítása
– HTTP, ICMP, SYN és UDP flood indítása
– a Windows termékazonosítójának és játékok CD-kulcsainak eltulajdonítása stb.



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek