Connect with us

technokrata

Kiszolgáltottá válhatnak rendszereink a legújabb Gaobot féreg miatt

Dotkom

Kiszolgáltottá válhatnak rendszereink a legújabb Gaobot féreg miatt

Újra felbukkant a Gaobot féreg, legújabb variánsa ismét játékok CD-kulcsait lopja el, illetve megnyitja a rendszereket egy további támadás előtt.

A féreg paraméterei

Felfedezésének ideje: 2004. október 27.
Utolsó frissítés ideje: 2004. október 27.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 104.960 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba sagate.exe névvel, majd le is futtatja ezt az állományt
– hozzáadja a Sagate Security Firewall=sagate.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run és a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices kulcsokhoz
– egy előre meghatározott IRC-csatornához kapcsolódik a lud.b0b.org szerveren, saját IRC-kliensét és a 7000-es TCP portot használva erre; majd alkotójától érkező parancsokra vár
– véletlenszerűen megnyit három TCP portot a fertőzött rendszeren
– a System32 mappában található hosts állományban számos webcímhez a local loopback (127.0.0.1) IP-címet rögzíti, ezáltal elérhetetlenné téve őket (így akadályozva meg például az antivírus szoftverek automatikus frissítését)
– megkísérel behatolni a távoli gépeken található megosztásokba, ehhez rengeteg felhasználónév/jelszó kombinációt próbálgat ki, illetve a NetUserEnum() által megtalált felhasználóneveket is beveti
– ahova sikeresen bejutott, oda felmásolja magát
– rendszervédelmi szoftverek futó process-einek leállítására is képes, ezzel meg is próbálkozik
– HTTP GET parancsokkal méri fel az adott rendszer Internet-kapcsolatának adatátviteli sebességét
– egyes, a rendszerre feltelepített játékok CD-kulcsait ellopja

Tovább
Kapcsolódó cikkek


Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek