Connect with us

technokrata

Webcímeket elérhetetlenné tevő trójai program terjed

Dotkom

Webcímeket elérhetetlenné tevő trójai program terjed

A Nemog nevű trójai program spamküdő zombit csinálhat számítógépünkből, ezért a Symantec kiadott hozzá egy külön letölthető, ingyenes eltávolítóeszközt.

A trójai program paraméterei

Felfedezésének ideje: 2004. augusztus 16.
Utolsó frissítés ideje: 2004. augusztus 16.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 139.776, 4.096 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódásakor bekövetkező események

– létrehozza a System mappában a következő állományokat:
. dx32hhlp.exe
. dx32hhec.sys
– létrehozza a következő service-t (így minden alkalommal lefut, amikor az operációs rendszer feláll): dx32hhec
– ezt aztán el is rejti a következő API-k igénybevételével:
. ZwQuerySystemInformation
. ZwQueryDirectoryFile
– hozzáadja a HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer Registry kulcshoz az alábbi bejegyzéseket:
. mutexadmin=1
. mutexname=[véletlen karakterek]
. vers=0x0001003d
– megkeresi a Startup könyvtár helyét a Registry-ben, és ennek tudatában bemásolja oda magát dx32hhlp.exe néven
– megkísérel eMule szerverekhez csatlakozni a következő IP-címek és portszámok felhasználásával:
62.241.53.2:4242
211.233.41.235:4661
81.23.250.167:4242
193.19.227.24:4661
66.98.192.99:3306
207.44.222.47:4661
213.158.119.104:4661
207.44.206.27:4661
62.241.53.4:4242
216.127.94.107:4661
67.15.18.45:3306
62.241.53.15:4242
64.246.54.12:3306
62.241.53.16:4242
211.214.161.107:4661
67.15.18.57:3306
66.98.144.100:4242
69.50.187.210:4661
66.111.43.80:4242
212.199.125.36:8080
66.90.68.2:6565
62.241.53.17:4242
69.50.228.50:4646
81.23.250.169:4242
69.57.132.8:4661
64.246.18.98:4661
218.78.211.62:4661
207.44.142.33:4242
64.246.16.11:4661
205.209.176.220:4661
80.64.179.46:4242
65.75.161.70:4661
– lehetővé teszi, hogy a rendszer a továbbiakban e-mail relay-ként viselkedjék egy véletlenszerűen választott TCP porton át
– egy másik, szintén véletlenszerűen választott TCP porton keresztül HTTP proxy-t futtat; ezenfelül képes még uninstallálni és frissíteni magát, illetve file-okat letölteni
– hozzáfűzi a következő bejegyzéseket a System könyvtárban található /drivers/etc/hosts állományhoz, megakadályozva az ezekhez való hozzáférést:
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek