Connect with us

technokrata

A Sasser féregvíruson élősködik egy új fenyegetés

Dotkom

A Sasser féregvíruson élősködik egy új fenyegetés

A pár hete robbanásszerű szaporodásnak indult Sasser féregvírus által képes elterjedni a Dabber, kihasználva az előbbi egyik funkcióját.

A féreg paraméterei

Felfedezésének ideje: 2004. május 14.
Utolsó frissítés ideje: 2004. május 17.
Veszélyeztetett rendszerek: Windows 2k/XP
Nem érintett rendszerek: Windows 3.x/9x/Me/NT/2k3, Macintosh, UNIX, Linux, OS/2
Mérete: 29.696 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza az sas4dab nevű mutexet, ezzel akadályozva meg a memóriába való többszöri betöltődését
– megkísérli létrehozni önmaga másolatait (package.exe) a következő helyeken:
. System mappa
. C:/Documents and Settings/All Users/Start Menu/Programs/Startup
. [Windows elérési útvonala]/All Users/Main menu/Programs/StartUp
– hozzáadja a sassfix=[System elérési útvonala]/package.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– a féreg megkísérel számos olyan bejegyzést letörölni a rendszerleíró adatbázisból, melyeket más kártevők hoztak létre; a következő kulcsokból szedi ki ezeket a bejegyzéseket:
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
. HKEY_CURRENT_USER/.DEFAULT/SOFTWARE/Microsoft/Windows/
CurrentVersion/Run
. HKEY_CLASSES_ROOT/CLSID/{E6FB5E20-DE35-11CF-9C87-00AA005127ED}/InProcServer32/
– IP-címeken olyan alhálózatok után keres, melyeket a Sasser már megfertőzött az 5554-es TCP porton keresztül; amennyiben talál ilyet, kihasználja a Sasser FTP szerverének funkcióit: letölteti magát a féreggel
– nyit egy hátsó kaput a megfertőzött rendszeren, mely a 9898-as TCP porton hallgatózik; ezzel lehetővé téve, hogy alkotója rendszerszintű hozzáférést kapjon az áldozatul esett számítógéphez



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek