Connect with us

technokrata

Információtolvaj féregvírus

Dotkom

Információtolvaj féregvírus

PDF állományokat tulajdonít el a fertőzött rendszerből a Myfip nevű féreg, mely hálózati megosztások révén terjed.

A féreg paraméterei

Felfedezésének ideje: 2004. augusztus 4.
Utolsó frissítés ideje: 2004. augusztus 5.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 24.500 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– létrehozza az fjsy nevű mutexet, így akadályozván meg, hogy többször is betöltődésre kerüljön
– bemásolja magát a System könyvtárba Dfsvc.exe néven
– FTP-vel letölti az ip.domain nevű állományt a net918.meibu.com domainről
– ez az állomány szerver- és felhasználóneveket tartalmaz, valamint jelszavakat más FTP-szerverekhez
– hozzáadja a Distributed File System=Dfsvc.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– helyi hálózaton megosztott könyvtárakat keres, s amennyiben talál ilyet, megkisérli magát felmásolni oda Iloveyou.txt.exe néven
– ha a másik számítógépre való behatolás azonosítást igényel, akkor Administrator néven megpróbál bejelentkezni, ehhez számos jelszót végigpróbálgat
– amennyiben sikerült a csatlakozás, létrehozza a távoli számítógépen a //Admin$/system32/ mappában a következő állományokat: temp.txt, Dfsvc.exe, dltksvc.exe
– ez utóbbit aztán Distributed Link Tracking Extensions néven service-ként regisztrálja is, melynek az a feladata, hogy a Dfsvc.exe file-t adminisztrátori privilégiumokkal futassa
– PDF állományok után kutat, s az összeset, amit talált, elküldi az ip.domainben található FTP-szerverekhez



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek