Connect with us

technokrata

Biztonsági réseken terjedő féregvírus

Dotkom

Biztonsági réseken terjedő féregvírus

A Donk féreg R változata a korábbról megismert RPC-, és a viszonylag újnak nevezhető LSASS-sebezhetőségek kihasználásával, e-mailes közvetítés nélkül szaporodik.

A féreg paraméterei

Felfedezésének ideje: 2004. június 3.
Utolsó frissítés ideje: 2004. június 7.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 68.611 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza önmaga másolatait a System mappában, Wnetlogin.exe és Cool.exe neveken
– hozzáadja a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run és a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices kulcshoz a Microsoft System Checkup=wnetlogin.exe bejegyzést, illetve az előbbihez az NT Logging Service=syslog32.exe bejegyzést
– leellenőrzi, hogy a megfertőzött rendszer csatlakozik-e az Internethez, a következő webcímekhez való kapcsolódási kísérlettel:
. www.w3.org
. www.geocities.com
. freewebpage.org.
. www.fortunecity.co.uk
. www.angelfire.com
. www.warez.com
. www.sms.ac
. isohunt.com
. www.wincustomize.com
. ftp.as.ro
. www.dot.tk
. irc.dal.net
. irc.undernet.org
. www.hotmail.com
. www.msn.com
. www.google.com
. www.yahoo.com
– ha sikerül, véletlenszerűen létrehoz egy IP-címet
– megkísérli kihasználni a DCOM RPC-sebezhetőséget azzal, hogy a 135-ös TCP porton adatot küld
– megkísérli kiaknázni az LSASS puffertúlcsordulásos sérülékenységet a 435-ös TCP porton való adatküldéssel
– létrehoz egy olyan rejtett shell process-t a megfertőzött rendszereken, mely a 4444-es TCP porton hallgatózik, lehetővé téve a féreg alkotója számára, hogy távoli parancsokat hajtasson végre a számítógépekkel
– leállítja a rendszerre telepített behatolásvédelmi szoftverek futó process-eit
– átírja a System könyvtár drivers/etc mappájában levő hosts állományt olyanképpen, hogy webböngészőből ne lehessen elérni az antivírus termékekkel foglalkozó cégek weboldalait
– megkísérel a helyi hálózaton az oda csatlakozó számítógépek megosztásaiba való belépéssel elterjedni; ehhez számos felhasználónév/jelszó kombinációt próbálgat ki
– amennyiben sikerrel jár, a féreg felmásolja magát Wnetlogin.exe névvel a következő könyvtárak közül azokba, melyek léteznek az adott rendszerben:
. C:/Documents and Settings/All Users/Start Menu/Programs/Startup
. C:/WINDOWS/Start Menu/Programs/Startup
. C:/WINNT/Profiles/All Users/Start Menu/Programs/Startup
. /WINNT/Profiles/All Users/Start Menu/Programs/Startup
. /WINDOWS/Start Menu/Programs/Startup
. /Documents and Settings/All Users/Start Menu/Programs/Startup
– létrehoz egy ütemezett feladatot, hogy lefuttassa a fenti állományt
– megkísérli letölteni és futtatni a következő állományokat néhány előre meghatározott weboldalról:
. [Temp mappa]/upd32a.exe
. [Temp mappa]/lpd32b.exe
. [Temp mappa]/file.my3
. [System mappa]/navinst.exe



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek