Connect with us

technokrata

Védtelenné teszik PC-inket a legújabb Mytob férgek

Dotkom

Védtelenné teszik PC-inket a legújabb Mytob férgek

Úja és újra átalakul a Mytob, amely alapvető működésében ugyan nem változott, de annyira azért igen, hogy elég munkát adjon az antivírus szoftvereknek.

A fertőzött e-mail jellemzői

Feladó: hamis e-mailcím, a következő domainek egyikével:
. aol.com
. msn.com
. yahoo.com
. juno.com
. fbi.gov
. cia.gov
. hotmail.com

Tárgy: egy előre elkészített listából válogat, néhány példa:
– Good day
– hello
– Mail Delivery System
– Mail Transaction Failed
– Server Report
– Status
– Error

Tartalom: a következők egyike:
– Here are your banks documents.
– The original message was included as an attachments.
– The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
– The message contains Unicode characters and has been sent as a binary attachment.
– Mail transaction failed. Partial message is available.
– test
– [véletlenszerű karakterek]

Csatolmány: egy .bat, .cmd, .exe, .pif, .scr vagy .zip kiterjesztésű állomány, a következő név valamelyikén:
. body
. data
. doc
. document
. file
. message
. readme
. test
. text

Megjegyzés: ha a csatolmány ZIP állomány, akkor a file-nak van egy második kiterjesztése is: .doc, .txt, .htm vagy .html

A féreg paraméterei

Felfedezésének ideje: 2005. április 1.
Utolsó frissítés ideje: 2005. április 3.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nem ismert (U változat), 46.687 byte (V változat)
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba taskgmr.exe és nethell.exe néven (U változat), illetve wfdmgr.exe névvel (V változat)
– az U változat a rendszermeghajtó gyökerében létrehozza a hellmsn.exe állományt, ami további file-okat generál ugyanitt (funny pic.scr, my_photo2005.scr, see_this!!.scr)
– hozzáad egy, a fent említett EXE állományra mutató bejegyzést a következő kulcsokhoz:
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/
RunServices
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_CURRENT_USER/SYSTEM/CurrentControlSet/Control/Lsa
. HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa
. HKEY_CURRENT_USER/Software/Microsoft/OLE
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/OLE
– az U változat létrehozza a H-E-L-L-B-O-T nevű mutexet, hogy csak egyszer töltődjön be a memóriába
– e-mailcímek után kutat a Windows Address Bookjában és különböző állományokban
– a fent ismertetett karakterisztikában e-maileket küld saját SMTP-motorja révén az összegyűjtött címekre
– FTP szervert indít egy véletlenszerűen kiválasztott TCP porton
– az U válozat megpróbál a all.evilpacket.org, a V változat a 18.xxor.biz IRC-szerver egyik csatornájához kísérel meg csatlakozni, és alkotójától érkező parancsokra várakozik, melyek a következők lehetnek:
. file-ok letöltése, letörlése, lefuttatása
. önmaga frissítése
. számítógép újraindítása stb.
– olyan számítógépek után kutat, melyek a Windows Local Security Authority Service Remote Buffer Overflow vagy a Windows DCOM RPC Interface Buffer Overrun sebezhetőségnek ki vannak téve
– az U változat létrehozhatja a megfertőzött rendszerben a 2pac.txt állományt, melynek révén megnyithatja a 10087-es TCP portot és letöltheti a féreg másolatát bingoo.exe néven
– az U változat gyenge jelszavas védelemmel rendelkező hálózati megosztások után kutat, ha talál és sikerrel ki tudja játszani a jelszót, akkor felmásolja oda magát a következő állományok egyikeként:
. Admin$/system32/taskgmr.exe
. Admin$/taskgmr.exe
. ipc$/system32/taskgmr.exe
. ipc$/taskgmr.exe
. print$/system32/taskgmr.exe
. print$/taskgmr.exe
. c$/winnt/system32/taskgmr.exe
. c$/taskgmr.exe
. d$/taskgmr.exe
. lwc$/taskgmr.exe
. NETLOGON/taskgmr.exe
. SYSVOL/taskgmr.exe
. profiles$/taskgmr.exe
. e$/taskgmr.exe
– a System/drivers/etc/hosts állományban olyan módosításokat végez, aminek következtében számos antivírus technológiával foglalkozó cég website-ja elérhetetlenné válik



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek