Connect with us

technokrata

Bizalmas állományokat lopkodó féreg

Dotkom

Bizalmas állományokat lopkodó féreg

A Mytip T változata hálózati megosztásokon keresztül szaporodik, s működése során dokumentumokat másol le az áldozatul esett rendszerből.

A féreg paraméterei

Felfedezésének ideje: 2005. március 9.
Utolsó frissítés ideje: 2005. március 9.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 68.608 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba kernel32dll.exe néven
– létrehozza a Meteo/EA[DCA] mutexet, így csak egyszer kerülhet betöltésre a memóriába
– hozzáadja a Distributed File System=kernel32dll.exe bejegyzést a HKEY_LOCAL_MACHINESOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– hálózati megosztásokon keresztül igyekszik terjedni, ehhez a következő neveket hasnzálja:
Admin$/[System elérési útvonala]/Dfsvc.exe
Admin$/[System elérési útvonala]/temp.txt
– ha sikerrel járt, önmaga A változatát temp.exe névvel létrehozza ugyanitt
– léterhoz egy service-t Distributed Link Tracking Extensions névvel, mely a fenti állományra mutat
– megkísérel Administrator azonosítóval csatlakozni a hálózati megosztásokhoz, ehhez különböző gyenge jelszavakat próbálgat ki
– az összes helyi és hálózati meghajtón a következő kiterjesztéssel bíró állományok után keres, amit megtalál, azt továbbítja egy, a saap.meibu.com domainen található szerver számára: .PDF, .DOC, .DWG, .SCH, .PCB, .DWT, .DWF, .MAX, .MDB
– figyelmen kívül veszi azokat az állományokat, melyek elérési útvonala nem tartalmazza az alábbi sztringek legalább egyikét:
. Winnt
. Windows
. I386
. Program Files
. All Users
. Recycler
. System Volume Information
. Inetpub
. Documents and Settings
. Wutemp
. My Music
– megkísérli önmagát beleinjektálni az explorer.exe-be, így biztosítva be, hogy minden alkalommal, amikor leállítják futó process-ét, akkor újra elinduljon
– megjelenít egy hibaüzenetet, majd leállítja az Explorert, ha a fenti műveletet nem tudta végrehajtani



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek