Connect with us

technokrata

Újabb, csatolmány nélkül is fertőző féreg terjed

Dotkom

Újabb, csatolmány nélkül is fertőző féreg terjed

A Bofra nevű féreg E változata a legújabb Mydoomok nyomán indult el, ugyanazt a frissen felfedezett sérülékenységet aknázza ki.

A fertőzött e-mail jellemzői

Feladó: hamis e-mailcím
Tárgy: a következők egyike:
– Hi!
– hey!
– [üres]
– Confirmation
Tárgy: két részből áll, a headerből a legkönnyebb felismerni, mely a következők egyike lehet:
. X-AntiVirus: scanned for viruses by AMaViS 0.2.1 (http:/ /amavis.org/)
. X-AntiVirus: Checked by Dr.Web (http:/ /www.drweb.net)
. X-AntiVirus: Checked for viruses by Gordano´s AntiVirus Software

A féreg paraméterei

Felfedezésének ideje: 2004. november 12.
Utolsó frissítés ideje: 2004. november 13.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nem ismert
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza önmaga másolatát a System könyvtárban, mely file a következőképp néz ki: [véletlenszerű karakterek]32.exe
– hozzáadja a Reactor9=[System elérési útvonala]/[véletlenszerű karakterek]32.exe bejegyzést a következő két Registry kulcs egyikéhez:
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
– létrehozza a következő Registry bejegyzéseket:
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/ComExplore/Version
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ComExplore/Version
– a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run kulcsból letörli az alábbi értékeket:
. center
. reactor
. Rhino
. Reactor3
. Reactor4
. Reactor5
. Reactor6
. Reactor7
. Reactor8
– megkísérli saját kódját a Shell_TrayWnd ablakosztályú process-ekbe vagy a háttérben futó process-ekbe rögzíteni, ha sikerül, a féreg a megfertőzött process-eken belül fut tovább; így kvázi ˝láthatatlanná˝ válik a felhasználó számára
– HTTP-szervert futtat a 1639-es TCP-porton
– amikor a féreg egy olyan HTTP get kérelmet kap, ami nem tartalmazza a ˝reactor˝-t, elküldi saját shell kódját a távoli számítógépnek, ami tartalmazza IFRAME sebezhetőség kihasználásának módját; ez utóbbi PC lefuttatja azt, majd küld egy olyan HTTP get kérelmet, ami tartalmazza a ˝reactor˝ szót a parancsban
– ha a féreg kap egy olyan HTTP get kérelmet, melynek parancsa tartalmazza a ˝reactor˝ sztringet, elküldi önmagát a get kérelmet küldő számítógép számára; az azon már futó shell kód pedig lefuttatja a férget
– megkísérel IRC-szerverekhez csatlakozni a 6667-es TCP-porton át
– e-mailcímeket gyűjt a Windows address bookjából és különböző file-okból (txt, htmb, shtl, phpq stb.) is
– saját SMTP-motorja révén elküldi magát az összegyűjtött e-mailcímek majdnem mindegyikére (némely, a féreg alkotója által veszélyesnek ítélt címet kihagy)
– a féreg felfüggeszti működését, ha 2004. december 16-án vagy annál később futtatják le



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek