Connect with us

technokrata

Hátsó kapukon keresztül fertőz a Gaobot féregvírus

Dotkom

Hátsó kapukon keresztül fertőz a Gaobot féregvírus

A Gaobot legújabb változata a Mydoom által nyitott hátsó kapuk révén és hálózati megosztásokon keresztül szaporodik.

A féreg paraméterei

Felfedezésének ideje: 2004. június 28.
Utolsó frissítés ideje: 2004. június 29.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 55.296 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba Msnss.exe és Msgfix.exe névvel
– hozzáadja a Configuration Loader=msnss.exe és a a Configuration Loader=Msgfix.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run, a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices és a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsokhoz
– megkísérli eltulajdonítani a Windows termék- és a játékok CD-kulcsát
– leállítja a rendszerre telepített behatolásvédelmi alkalmazások futó process-eit
– egy előre meghatározott IRC-csatornához kapcsolódik, saját IRC-kliensét használva erre; alkotójától érkező parancsokra vár
– megkísérel behatolni a távoli gépeken található megosztásokba, ehhez rengeteg felhasználónév/jelszó kombinációt próbálgat ki
– ahova sikeresen bejutott, oda (a következő helyekre) felmásolja magát:
. IPC$/msgfix.exe
. D$/msgfix.exe
. print$/msgfix.exe
. c$/msgfix.exe
. Admin$msgfix.exe
. c$/windows/system32/msgfix.exe
. c$/winnt/system32/msgfix.exe
. Admin$/system32/msgfix.exe
– olyan számítógépek után kutat, melyeket a Mydoom variánsok valamelyike megfertőzött; ha talál, akkor a féreg által odatelepített hátsó kapun keresztül juttatja be magát



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek