Connect with us

technokrata

PC-k védelmét legyengítő féreg

Dotkom

PC-k védelmét legyengítő féreg

A Spybot legújabb variánsa rengeteg helyen belenyúl a rendszerleíró adatbázisba, hogy lecsökkentse a megtámadott számítógép védelmi szintjét.

A féreg paraméterei

Felfedezésének ideje: 2005. április 5.
Utolsó frissítés ideje: 2005. április 7.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nem ismert
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja a System mappába önmagát egy véletlenszerű névvel ellátott, 65536 byte nagyságú EXE állomány képében, melynek attributumát rejtettre, csak olvashatóra és rendszerre állítja
– a rendszermeghajtó gyökerében létrehoz két további file-t: boot.exe, msdrv32.scr
– hozzáadja a “Microsoft UpToDate Driver (32-bits)” = “[véletlenszerűen generál file-név].exe” bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run, a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices és a HKEY_CURRENT_USER/Software/Microsoft/OLE kulcsokhoz
– megpróbál terjedni a következő sebezhetőségek kiaknázásával:
. Windows DCOM RPC Interface Buffer Overrun Vulnerability
. Windows Local Security Authority Service Remote Buffer Overflow
. Workstation Service Buffer Overrun vulnerability
– a sirh0t.w00pie.nl domainen található IRC-szerverhez csatlakozik, és alkotójától érkező parancsokra vár, melyek a következők lehetnek:
. DoS-támadás kezdeményezése
. process-ek leállítása, indítása
. file-ok letöltése, futtatása
. a fenyegetés frissítése, eltávolítása
– számos Registry kulcsot átír, hogy a megtámadott számítógépen engedélyezze zavartalan működését



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek