Connect with us

Hirdetés

technokrata

A rendszeren hátsó kaput nyitó féreg

Dotkom

A rendszeren hátsó kaput nyitó féreg

A Mytob féreg J változata nem sokban tér el elődeitől: a fertőzött PC-t a féreg alkotójának kiszolgáltatja, terjedni pedig e-mailen és Windows-sérülékenységen keresztül képes.

A fertőzött e-mail jellemzői

Feladó: hamis e-mailcím, a következő domainek egyikével:
. aol.com
. msn.com
. yahoo.com
. juno.com
. fbi.gov
. cia.gov
. hotmail.com

Tárgy: a következők valamelyike:
. Good day
. hello
. Mail Delivery System
. Mail Transaction Failed
. Server Report
. Status
. Error
. [üres]
. [véletlenszerűen válogatott karakterek]

Tartalom: a következők egyike:
. Here are your banks documents.
. The original message was included as an attachments.
. The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
. The message contains Unicode characters and has been sent as a binary attachment.
. Mail transaction failed. Partial message is available.
. [üres]
. [véletlenszerűen válogatott karakterek]

Csatolmány: egy .bat, .cmd, .exe, .pif, .scr vagy .zip kiterjesztésű állomány, a következő név valamelyikén:
. body
. data
. doc
. document
. file
. message
. readme
. test
. text
. [véletlenszerűen válogatott karakterek]

Megjegyzés: ha a csatolmány ZIP állomány, akkor a file-nak van egy második kiterjesztése is: .doc, .txt, .htm vagy .html

A féreg paraméterei

Felfedezésének ideje: 2005. március 24.
Utolsó frissítés ideje: 2005. március 25.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 69.632 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba taskgmr.exe néven
– a rendszermeghajtó gyökerében létrehozza a hellmsn.exe állományt, ami további file-okat generál ugyanitt (FUNNY_PIC.SCR, MY_PHOTO2005.SCR, SEE_THIS!!.SCR)
– hozzáad egy, a taskgmr.exe állományra mutató bejegyzést a következő kulcsokhoz:
.
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_CURRENT_USER/Software/Microsoft/OLE
. HKEY_CURRENT_USER/SYSTEM/CurrentControlSet/Control/Lsa
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/OLE
. HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa
. HKEY_LOCAL_MACHINE/Software/Microsoft/Ole
. HKEY_CURRENT_USER/Software/Microsoft/Ole
– e-mailcímek után kutat a Windows Address Bookjában és különböző állományokban
– a fent ismertetett karakterisztikában e-maileket küld saját SMTP-motorja révén az összegyűjtött címekre
– FTP szervert indít egy véletlenszerűen kiválasztott TCP porton
– megkísérel csatlakozni az irc.blackcarder.net #hellbot2 csatornájához, és alkotójától érkező parancsokra várakozik, melyek a következők lehetnek:
. file-ok letöltése, letörlése, lefuttatása
. számítógép újraindítása stb.
– olyan számítógépek után kutat, melyek a Windows Local Security Authority Service Remote Buffer Overflow sebezhetőségnek ki vannak téve
– a System/drivers/etc/hosts állományban olyan módosításokat végez, aminek következtében számos antivírus technológiával foglalkozó cég website-ja elérhetetlenné válik



Szólj hozzá!

További Dotkom

Hirdetés

Népszerű

Hirdetés

Technokrata a Facebookon

Hirdetés

IoT-Magazin.hu

Hirdetés

Kütyük

Smart home

Így képzelik el a magyarok az álomotthonukat

2024. március 20. szerda

Office

Foglalj helyet, hogy helyet foglalhass!

2024. március 13. szerda

Smart home

Okoskészülék vagy hagyományos háztartási gép?

2024. február 28. szerda
owlet care babafigyelő

Smart home

OWLET CARE a magyarországi piacon!

2024. február 26. hétfő
Hirdetés

Dotkom

Műszaki-Magazin.hu

Hirdetés