Connect with us

technokrata

Cycle féregvírus – a Sasser nyomában

Dotkom

Cycle féregvírus – a Sasser nyomában

A Cycle nevű digitális kártevő a Windows ugyanazon biztonsági hiányosságát használja ki, melyhez a Microsoft már egy hónapja kiadta a javítást.

A féreg paraméterei

Felfedezésének ideje: 2004. május 10.
Utolsó frissítés ideje: 2004. május 10.
Veszélyeztetett rendszerek: Windows 2k/XP/2k3
Nem érintett rendszerek: Windows 3.x/9x/Me/NT/, Macintosh, UNIX, Linux, OS/2
Mérete: 10.240 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza a Windows könyvtárban a cyclone.txt nevű állományt, majd a System könyvtárban az svchost.exe-t
– leállítja a következő futó process-eket (melyek csak akkor vannak jelen, ha a rendszer korábban már megfertőződött egy másik féreggel)
. msblast.exe
. avserve.exe
. avserve2.exe
. skynetave.exe
– létrehozza a következő mutexeket, lehetetlenné téve ezzel a Sasser féreg feltelepülését a rendszerre:
. SkynetSasserVersionWithPingFast
. Jobaka3l
. JumpallsNlsTillt
. Jobaka3
– amennyiben a rendszerdátum május 18-a, DoS-támadást kísérel meg a www.irna.com és a www.bbcnews.com webcímek ellen
– hátsó kaput nyit a 3332-es TCP porton, melyen keresztül minden kapcsolatot lezár, ami ezen a porton át létesülne
– a 69-es UDP porton át TFTP szervert futtat, amely el fogja küldeni a féreg másolatát azoknak a process-eknek, melyek ehhez a porthoz csatlakoznak
– véletlenszerűen IP-címeket generál, s megkísérel a 445-ös TCP porton keresztül ezekhez a címekhez kapcsolódni
– lefuttat egy távoli shellt, amelyik az TFTP szerverről, a 69-es UDP porton át letölti a féreg másolatát (cyclone.exe), majd le is futtatja
– amikor a letöltött file lefut, módosíthatja a Generic Host Service=[Windows elérési útvonala]/systemsvchost.exe bejegyzést az alábbi Registry kulcsokban:
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek