Connect with us

technokrata

Windows sebezhetőség révén terjedő féregvírus

Dotkom

Windows sebezhetőség révén terjedő féregvírus

A Korgo Z változata marad a jól bevált LSASS-sérülékenység kiaknázására épülő terjedési modellje mellett.

A féreg paraméterei

Felfedezésének ideje: 2004. július 27.
Utolsó frissítés ideje: 2004. július 29.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 9.359 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódásakor bekövetkező események

– letörli abból a könyvtárból az ftpupd.exe állományt, amelyikben futtatásra került
– létrehozza az uterm19.2 mutexet, ezzel biztosítva, hogy csak egyszer kerüljön betöltésre
– létrehozza az alábbi mutexeket: u10, u10x, u11, u11x, u12, u12x, u13, u13i, u13x, u14, u14x, u15, u15x, u16, u16x, u17, u17x, u18, u18x, u19, u8, u9
– letörli a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsból a következő bejegyzéseket (ha azok ott léteznek):
. avserve.exe
. avserve2.exeUpdate Service
. Bot Loader
. Disk Defragmenter
. MS Config v13
. System Restore Service
. SysTray
. Windows Security Manager
. Windows Update
. Windows Update Service
. WinUpdate
– bemásolja magát a System mappába egy véletlenszerűen generált néven, .exe kiterjesztéssel
– hozzáadja a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Wireless kulcshoz a következő bejegyzéseket:
. Client=1
. ID=[véletlenszerű érték]
– hozzáadja a Cryptographic Service=[System elérési útvonala]/[véletlenszerű érték].exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– megkísérel végrehajtási szálként bevinni egy funkciót az Explorer.exe.be; ha ez sikerül, a féreg a továbbiakban az Explorer.exe process-ből fejti ki hatását
– amennyiben nem sikerül a fenti művelet, akkor saját process-ét futtatja tovább
– megnyit egy véletlenszerű TCP portot, amit önmaga továbbítására használ majd fel
– megkísérel kapcsolódni a következő (zömmel orosz) IRC-szerverekhez, ahonnan egyben frissíteni is képes önmagát
. 0AB1cvv.ru
. adult-empire.com
. asechka.ru
. citi-bank.ru
. color-bank.ru
. crutop.nu
. fethard.biz
. filesearch.ru
. kavkaz.tv
. kidos-bank.ru
. konfiskat.org
. master-x.com
. mazafaka.ru
. parex-bank.ru
. roboxchange.com
. www.redline.ru
. xware.cjb.net
– megkísérli távoli számítógépeken (melyeket véletlenszerűen generált IP-címen ér el) kihasználni az LSASS Windows sérülékenységet



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek