Connect with us

technokrata

PC-nken titkos kaput nyitó féreg terjed

Dotkom

PC-nken titkos kaput nyitó féreg terjed

A Toxbot nevű digitális kártevő két változata hátsó ajtót nyit a rendszeren, majd a fertőzött számítógépet kiszolgáltatja alkotója kénye-kedvére.

A féreg paraméterei

Felfedezésének ideje: 2005. március 10.
Utolsó frissítés ideje: 2005. március 11.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 26.624 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– létrehozza önmaga másolatát egy véletlenszerűen generált, 8 karakterből álló névvel, exe kiterjesztéssel a System könyvtárban; néhány példa: TrkWksrv.exe, dxdllsvc.exe, ciclient.exe; illetve a B változat ugyanide TrkWksvc.exe néven kerül be
– a következő Registry kulcsok alapértékét Service-ra változatja:
. HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/SafeBoot/Minimal/[véletlenszerűen létrehozott file-név]
. HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/SafeBoot/Network/[véletlenszerűen létrehozott file-név]
B változat:
. HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SafeBoot/Minimal/TrkWksvc
. HKEY_LOCAL_MACHINESYSTEM/CurrentControlSet/Control/SafeBoot/Network/TrkWksvc
– a B változat létrehozza a Distributed Link Tracking Service nevű service-t, ami minden Windows indítás után elindul
– hozzáadja az alábbi kulcsokat a rendszerleíró adatbázishoz:
. HKEY_LOCAL_MACHINE/System/CurrentControlSet/Enum/Root/LEGACY_[véletlenszerűen létrehozott file-név]
. HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/[véletlenszerűen létrehozott file-név]
– hátsó kaput hoz létre a megtámadott rendszeren, mellyel lehetővé teszi a távoli támadó számára, hogy IRC-csatornán keresztül a következőket véghezvigye:
. billentyűleütések figyelése
. process-ek leállítása
. a gyorsítótárban eltárolt jelszavak, a rendszerinformáció ellopása
. távoli állományok letöltése
– a következő biztonsági rések kihasználása révén szaporodik:
. Windows DCOM RPC Interface Buffer Overrun Vulnerability
. Windows ntdll.dll Buffer Overflow Vulnerability
. SQL Server Web Task Stored Procedure Privilege Escalation Vulnerability
– leellenőrzi, hogy a virtuális számítógépeket készíteni képes VMware megtalálható-e a rendszerben, a HKEY_LOCAL_MACHINE/Software/VMware kulcs megtekintésével; a féreg ugyanis nem fog futni a VMware-rel rendelkező PC-ken



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek