Connect with us

technokrata

Hálózati megosztások révén terjedő féreg

Dotkom

Hálózati megosztások révén terjedő féreg

A Myfip AB változata még az Internet Explorert is igyekszik megfertőzni, csak hogy folyamatosan futhasson a megtámadott rendszerben.

A féreg paraméterei

Felfedezésének ideje: 2004. augusztus 8.
Utolsó frissítés ideje: 2004. augusztus 9.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nem ismert
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– bemásolja magát a System könyvtárba win.exe néven
– hozzáadja a Distributed File System=win.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– helyi hálózaton megosztott könyvtárakat keres, s amennyiben talál ilyet, megkisérli előző változatát felmásolni oda Dfsvc.exe néven; ugyanide temp.exe néven a legfrissebb variáns is bekerülhet
– amennyiben ez utóbbi file lett elindítva, akkor Distributed Link Tracking Extensions néven service-ként regisztrálja magát, melynek az a funkciója, hogy a Dfsvc.exe file-t adminisztrátori privilégiumokkal futassa
– ha a másik számítógépre való behatolás azonosítást igényel, akkor Administrator néven megpróbál bejelentkezni, ehhez számos jelszót végigpróbálgat
– átnézi az összes helyi és hálózati meghajtót a következő kiterjesztéssel bíró file-ok után, melyeket a wjkyrh56.dns4me.com URL irányába továbbít a 34330 TCP porton: .PDF, .DOC, .DWG, .SCH, .PCB, .DWT, .DWF, .MAX, .MDB
– nem veszi figyelembe azon állományokat, melyek elérési útvonalában nem találhatók meg a következő sztringek valamelyike:
. Winnt
. Windows
. I386
. Program Files
. All Users
. Recycler
. System Volume Information
. Inetpub
. Documents and Settings
. Wutemp
. My Music
– megpróbálja beinjektálni magát az explorer.exe-be; ha sikerül, akkor a féreg annak ellenére is mindig újra fog indulni, ha saját process-ét leállítják
– amennyiben viszont nem jár sikerrel, megjelenít egy hibaüzenetet és leállítja az Internet Explorert



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek