Connect with us

Szoftverhibákon élősködő féregvírus

Dotkom

Szoftverhibákon élősködő féregvírus

Hat Windows-os biztonsági rés kihasználására képes a Gaobot legújabb variánsa.

A féreg paraméterei

Felfedezésének ideje: 2004. május 25.
Utolsó frissítés ideje: 2004. május 26.
Veszélyeztetett rendszerek: Windows 2k/XP/2k3
Nem érintett rendszerek: Windows 3.x/9x/Me/NT, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 126.976 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba norton.exe névvel
– hozzáadja a System Service Manager=[System elérési útvonala]/norton.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run és a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices Registry kulcsokhoz
– a System könyvtárból elérhető drivers/etc/hosts állományban felülírja a legtöbb behatolásvédelmi szoftverrel foglalkozó cég webcímének elérhetőségét a 127.0.0.1-es IP-címmel, így azok többé nem lesznek elérhetők
– leállítja a rendszerre telepített behatolásvédelmi alkalmazások futó process-eit
– az alábbi állományokhoz kapcsolódó férgeket törli ki a rendszerből (leállítja futó process-eiket, letörli Registry bejegyzéseiket és állományaikat):
. bbeagle.exe
. d3dupdate.exe
. winsys.exe
. ssate.exe
. Ssate.exe
. i11r54n4.exe
. rate.exe
. irun4.exe
– megnyit pár TCP portot (véletlenszerűen), s elküldi önmaga másolatát minden olyan process-nek, mely ezen portok valamelyikén csatlakozik a fertőzött PC-hez
– egy előre meghatározott IRC-csatornához kapcsolódik, saját IRC-kliensét használva erre; alkotójától érkező parancsokra vár
– hatféle módon igyekszik terjedni:
. kihasználja az ˝RPC DCOM˝ sebezhetőséget a 135-ös TCP porton keresztül patch letöltése
. kihasználja a ˝WebDav˝ sebezhetőséget a 80-as TCP porton keresztül patch letöltése
. kihasználja a ˝Workstation service buffer overrun˝ sebezhetőséget a 80-as TCP porton keresztül patch letöltése
. kihasználja a ˝Local UPnP NOTIFY Buffer Overflow˝ sebezhetőséget patch letöltése
. kihasználja az ˝SQL Server Web Task Stored Procedure Privilege Escalation˝ sebezhetőséget patch letöltése
. kihasználja a ˝Local Security Authority Service Remote Buffer Overflow˝ sebezhetőséget patch letöltése
– megkísérel behatolni a távoli gépeken található megosztásokba, ehhez rengeteg felhasználónév/jelszó kombinációt próbálgat ki
– ahova sikeresen bejutott, oda felmásolja magát, majd lefuttatja a fertőzött állományt



Szólj hozzá!

További Dotkom

Népszerű

Hirdetés

Technokrata a Facebookon

Hirdetés

Kütyük

longines-hydroconquest-full-black-ceramic-l3-784-4-56-9-1

SmartWatch

Igazán férfias sportórát mutatott be a Longines

2019. július 20. szombat
Business woman are checking stock market graph on digital tablet

Office

SUSE Enterprise Storage 6: miénk itt a tár!

2019. július 17. szerda
caw211w-fc6467-special-ed-through-time-80s-2019
maxresdefault

SmartPhone

Nokia okostelefond van? Akkor azonnal frissítsd Pie-ra!

2019. július 13. szombat
procentric

Smart-TV

TV-k veszik át a wifi-hotspotokat a hotelekben

2019. július 10. szerda

Dotkom