Connect with us

Hirdetés

technokrata

Explorerben megbúvó féregvírus

Dotkom

Explorerben megbúvó féregvírus

A Korgo legújabb változata új trükköt vet be önmaga elrejtése érdekében.

A féreg paraméterei

Felfedezésének ideje: 2004. június 7.
Utolsó frissítés ideje: 2004. június 8.
Veszélyeztetett rendszerek: Windows 2k/XP/2k3
Nem érintett rendszerek: Windows 3.x/9x/Me/NT, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 10.879 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– letörli a Ftpupd.exe állományt abból a mappából, ahonnan elindításra került
– letörli a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsból a következő bejegyzéseket (ha azok léteznek):
. Windows Security Manager
. Disk Defragmenter
. System Restore Service
. Bot Loader
. WinUpdate
. Windows Update Service
. avserve.exe
. avserve2.exeUpdate Service
– megnézi, hogy létezik-e a Windows Update bejegyzés a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsban; ha nem, hozzáadja a Client=1 bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Wireless Registry kulcshoz
– amennyiben létezik a fenti bejegyzés, de a benne levő elérési útvonal nem egyezik meg a féreg lokációjával, akkor:
. felmásolja magát a System mappába egy véletlenszerűen generált file-néven, EXE kiterjesztéssel
. hozzáadja a Windows Update=[System elérési útvonala]/[véletlenszerűen generált file-név].exe bejegyzést a
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run kulcshoz
. elindítja az imént felmásolt állományt és leállítja az aktuálisan futó process-t
– ha a WinUpdate bejegyzés létezik, és az itt eltárolt elérési útvonal megegyezik a féreg lokációjával, letörli a Client bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Wireless kulcsból
– megkísérel egy funkciót bevinni az Explorer.exe-be, ha ez sikerrel jár, minden további művelet, amit a féreg véghez visz, már láthatatlan lesz, mivel a Task Managerben nem látszik külön az Explorer.exe-be befészkelődött kártevő
– ha a fenti művelet nem jár sikerrel, a féreg saját process-ében fut tovább
– a féreg a 113-as, a 3067-es és egy véletlenszerűen választott TCP porton hallgatózik, ez utóbbin terjeszti magát
– megkísérel a 6667-es TCP porton keresztül a következő IRC-szerverek valamelyikéhez csatlakozni:
. moscow-advokat.ru
. graz.at.eu.undernet.org
. flanders.be.eu.undernet.org
. caen.fr.eu.undernet.org
. brussels.be.eu.undernet.org
. los-angeles.ca.us.undernet.org
. washington.dc.us.undernet.org
. london.uk.eu.undernet.org
. lia.zanet.net
. gaspode.zanet.org.za
. irc.kar.net
. irc.tsk.ru
. gaz-prom.ru
– elindít egy végrehajtási szálat az LSASS-sebezhetőség kihasználása végett, mellyel véletlenszerűen generált IP-címek 445-ös portján keresztül probálkozik
– ha sikeresen be tudott jutni egy rendszerbe, akkor a célpont számítógép visszacsatlakozik a megfertőzödött PC-hez, letölti, majd futtatja a férget



Szólj hozzá!

További Dotkom

Hirdetés

Népszerű

Hirdetés

Technokrata a Facebookon

Hirdetés

IoT-Magazin.hu

Hirdetés

Kütyük

Smart home

Így képzelik el a magyarok az álomotthonukat

2024. március 20. szerda

Office

Foglalj helyet, hogy helyet foglalhass!

2024. március 13. szerda

Smart home

Okoskészülék vagy hagyományos háztartási gép?

2024. február 28. szerda
owlet care babafigyelő

Smart home

OWLET CARE a magyarországi piacon!

2024. február 26. hétfő
Hirdetés

Dotkom

Műszaki-Magazin.hu

Hirdetés