Connect with us

Hirdetés

technokrata

Féreginvázió – újabb Mytob változatok terjednek

Dotkom

Féreginvázió – újabb Mytob változatok terjednek

Valóságos Mytob invázió zajlik, pár hét alatt több tucat variáns árasztotta el az Internetet.

A fertőzött e-mail jellemzői

Feladó: hamis e-mailcím, a következő domainek egyikével:
. aol.com
. msn.com
. yahoo.com
. juno.com
. fbi.gov
. cia.gov
. hotmail.com

Tárgy: egy előre elkészített listából válogat, néhány példa:
– Good day
– hello
– Mail Delivery System
– Mail Transaction Failed
– Server Report
– Status
– Error

Tartalom: a következők egyike:
– The original message was included as an attachments.
– The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
– The message contains Unicode characters and has been sent as a binary attachment.
– Mail transaction failed. Partial message is available.

Csatolmány: egy .bat, .cmd, .exe, .pif, .scr kiterjesztésű állomány, a következő nevek valamelyikével:
. body
. data
. doc
. document
. file
. message
. readme
. test
. text
. véletlenszerű elnevezés

Megjegyzés: ha a csatolmány ZIP állomány, akkor a file-nak van egy második kiterjesztése is: .doc, .txt, .htm vagy .html

A féreg paraméterei

Felfedezésének ideje: 2005. április 10.
Utolsó frissítés ideje: 2005. április 11.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: pontosan nem ismert
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba bpool.exe és bps.exe névvel
– további file-okat generál a C meghajtó gyökerében (funny pic.scr, see_this!!.scr, my_photo2005.scr)
– szintén a C gyökerében hozza létre a sysrun.exe állományt, amely egy korábbi változatának (W32.Mytob.L@mm) másolata
– hozzáadja a “Major Microsoft Windows Driver Boot loader” = “bpool.exe” bejegyzést a következő kulcsokhoz:
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/
RunServices
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_CURRENT_USER/SYSTEM/CurrentControlSet/Control/Lsa
. HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa
. HKEY_CURRENT_USER/Software/Microsoft/OLE
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/OLE
– létrehozza a H-xxxxxxxxxxxxxxxxE-L-L-B-O-T nevű mutexet, hogy csak egyszer töltődjön be a memóriába
– e-mailcímek után kutat a Windows Address Bookjában és különböző állományokban
– a fent ismertetett karakterisztikában e-maileket küld saját SMTP-motorja révén az összegyűjtött címekre
– hátsó kaput nyit a 61137-es TCP porton
– megpróbál a shell15.fiberirc.net vagy a shell16.fiberirc.ne IRC-szerver egyik csatornájához csatlakozni, és alkotójától érkező parancsokra várakozik, melyek a következők lehetnek:
. file-ok letöltése, letörlése, lefuttatása
. számítógép újraindítása stb.
– olyan számítógépek után kutat, melyek a Windows Local Security Authority Service Remote Buffer Overflow vagy a Windows DCOM RPC Interface Buffer Overrun sebezhetőségnek ki vannak téve
– a System/drivers/etc/hosts állományban olyan módosításokat végez, aminek következtében számos antivírus technológiával foglalkozó cég website-ja elérhetetlenné válik



Szólj hozzá!

További Dotkom

Hirdetés

Népszerű

Hirdetés

Technokrata a Facebookon

Hirdetés

IoT-Magazin.hu

Hirdetés

Kütyük

Smart home

Így képzelik el a magyarok az álomotthonukat

2024. március 20. szerda

Office

Foglalj helyet, hogy helyet foglalhass!

2024. március 13. szerda

Smart home

Okoskészülék vagy hagyományos háztartási gép?

2024. február 28. szerda
owlet care babafigyelő

Smart home

OWLET CARE a magyarországi piacon!

2024. február 26. hétfő
Hirdetés

Dotkom

Műszaki-Magazin.hu

Hirdetés