Connect with us

E-mailes közvetítés nélkül szaporodó féreg

Dotkom

E-mailes közvetítés nélkül szaporodó féreg

Az Orpheus nevű féregnek nincsen szüksége elektronikus levélre közvetítő platform gyanánt, annál sokkal ravaszabb módszerrel terjeszti önmagát.

A féreg paraméterei

Felfedezésének ideje: 2004. november 9.
Utolsó frissítés ideje: 2004. november 10.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 14.336 byte (exe), 57.344 byte (dll)
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– leellenőrzi az alábbi Registry kulcs értékét, ha az be van állítva, kilép, mindenféle további működés nélkül;
HKEY_LOCAL_MACHINE/Software/Cerberus/1.1/dontInstall
– felmásolja magát a System mappába hotplug.exe névvel
– létrehozza a Hotplug Devices Manager nevű service-t, melyet a fenti állományhoz társít
– hozzáadja a DependOnService=HotPlug bejegyzést a HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/PlugPlay Registry kulcshoz, így egy új hardvereszköz hozzáadásánál a Microsoft-féle Plug n Play szolgáltatás a féreg előbb leírt service-ától válik függővé
– minden olyan futó process-be, melynek a nevében megtalálható az lsass sztring, rögzíti az ntadint.dll file-t, melynek révén hátsó ajtót nyit a fertőzött rendszeren, illetve ez teszi lehetővé hálózaton való terjedését is
– rögtön azután, hogy a DLL állomány lefutott, számos API-t megváltoztat, hogy elrejtse a rendszerben saját jelenlétét; néhány példa:
. FreeLibrary
. CreateProcessAsUserA
. CreateProcessAsUserW
. FindFirstFileExW
. FindNextFileW
. RegCloseKey stb.
– az érintett API-k meghívása ezt követően azzal jár, hogy bármelyik process-t, amelyik hozzájuk fordul, megfertőzi önmagával
– a C meghajtó gyökerében eltárolja a felhasználó által leütött billentyűket (irdos.sys)
– hátsó kaput nyit a rendszeren a következő pipe létrehozásával: cb_win_nt_proc_rpc_[aktuális process azonosító]
– ha ezen keresztül becsatlakozott a támadó, számos dolgot megtehet a rendszerben (rendszerinformációk megtekintése, felhasználói jelszavak megváltoztatása stb.)
– a net view /domain parancs eredményét felhasználva minden, a fertőzött gazdagép által ismert domaint felmér, hogy azokhoz is megkísérelhessen csatlakozni
– amennyiben sikerrel jár, a következő állományok felmásolásával próbálkozik meg:
. [System elérési útvonala]/ntadint.dll
. [System elérési útvonala]/hotplug.exe
. D:/hotplug.exe
. D:/ntadint.dll
– létrehozza a távoli számítógépen a következő service-okat, melyek a következő rendszerinduláskor már automatikusan elindulnak:
. Hotplug Devices Manager
. Microsoft Windows Hotplug Service



Szólj hozzá!

További Dotkom

Népszerű

Hirdetés

Technokrata a Facebookon

Hirdetés

Kütyük

montblanc_star_legacy_pic_01
Device offers wireless printing without a router and mobile print functionality with Apple AirPrint, Google Cloud Print, Mopria and Android support.
p30_pro_eisa

SmartPhone

A Huawei P30 Pro lett az idei év legjobb okostelefonja

2019. augusztus 22. csütörtök
lg_thinq_amazon_01

Smart home

Az LG háztartási gépei bevásárolnak helyetted online

2019. augusztus 22. csütörtök
klíma az irodában

Office

Hogyan állítsuk be a klímát az irodában

2019. augusztus 21. szerda

Dotkom

YouTube előfizetés

Digitális oktatás

YouTube Music előfizetés diákkedvezménnyel

2019. augusztus 19. hétfő
maxresdefault-1

Dotkom

A Huawei bemutatta saját operációs rendszerét

2019. augusztus 11. vasárnap
maxresdefault

Dotkom

A Vodafone beindította a jövő szenzorhálózatát

2019. augusztus 7. szerda
psd2 blockbenpay
adesso magyar iroda

Dotkom

Képviseletet nyit az adesso Magyarországon

2019. augusztus 5. hétfő