Connect with us

technokrata

Kinyitott rendszerek, elérhetetlen weboldalak, ellopott CD-kulcsok – újra itt a Gaobot

Dotkom

Kinyitott rendszerek, elérhetetlen weboldalak, ellopott CD-kulcsok – újra itt a Gaobot

A Gaobot (Agobot) féreg révén szerezték meg annak idején a Half-life 2 forráskódját; a digitális kártevő újabb változata terjed.

A féreg paraméterei

Felfedezésének ideje: 2004. december 7.
Utolsó frissítés ideje: 2004. december 9.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nem ismert
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a System mappába ebay.exe néven
– hozzáadja a Windows Update=ebay.exe bejegyzést a következő két Registry kulcshoz:
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
– létrehozza és el is indítja a Windows Update nevű service-t
– minden olyan állományt és könyvtárat letöröl, amelynek nevében megtalálható a souond sztring
– hátsó kaput nyit a 6777-es TCP porton keresztül; csatlakozik egy távoli IRC-szerverhez, mely a 24.77.46.93-as IP-címmel rendelkezik, és alkotójától érkező parancsokra (file-ok letöltése és futtatása, process-ek indítása, listázása és leállítása, DoS-támadás kezdeményezése stb.) várakozik
– módosítja a Windows hosts állományát a local loopback (127.0.0.1) IP-címhez való domainek hozzárendelésével; ezzel elérhetetlenné teszi böngészőn keresztül például a Symantec, a Sophos, a McAfee stb. weboldalát
– a következő sebezhetőségeket megpróbálja kiaknázni saját terjedési algoritmusa kiteljesítése érdekében:
. DCOM RPC Vulnerability
. WebDav Vulnerability
. Workstation Service Buffer Overrun Vulnerability
. UPnP NOTIFY Buffer Overflow Vulnerability
. a Microsoft SQL Server 2000 vagy MSDE 2000 auditjában rejlő hibák
. Microsoft Windows Local Security Authority Service Remote Buffer Overflow
– leállítja a rendszerre telepített behatolásvédelmi szoftverek futó process-eit
– HTTP GET üzeneteket küld a 80-as TCP porton keresztül különböző website-oknak, hogy lemérje az Internet-kapcsolat sebességét
– számos PC-s játék CD-kulcsát képes ellopni



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek