Connect with us

technokrata

Sebezhető Windows-ok veszélyben

Dotkom

Sebezhető Windows-ok veszélyben

A Spybot féreg legújabb változata a korábbi verziókhoz képest még több Windows-os biztonsági rést képes kiaknázni.

A féreg paraméterei

Felfedezésének ideje: 2005. április 12.
Utolsó frissítés ideje: 2005. április 13.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nem ismert
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja a Windows mappába önmagát iTunesMusic.exe néven
– létrehozza a System könyvtárban az rdriv.sys nevű állományt, ami tulajdonképpen egy trójai program; feladata a fenti file elrejtése, illetve service-ként való futtatása; ezt a következő két Registry kulcs létrehozásával éri el:
. HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/rdriv
. HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/wscsvc- létrehozza a
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/iTunesMusic kulcsot is
– a következő módosításokat végzi a Registry-ben:
. HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa/restrictanonymous = “1”
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Ole/EnableDCOM = “N”
– a rendszerleíró adatbázist érintő további változtatások révén jócskán lecsökkenti a megtámadott számítógép biztonsági szintjét (többek között az Internet Explorer beállításainak módosításával és a Windows XP SP2 által feltelepített Security Center valamint a Windows saját tűzfalának letiltásával)
– még arról is gondoskodik, hogy ha az operációs rendszer nem lenne ellátva a Windows XP második javítócsomagjával, akkor azt már ne is lehessen feltelepíteni: felviszi a “DoNotAllowXPSP2″=”1” bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/WindowsUpdate kulcsba
– a 69.31.76.179 IP-címen található IRC-szerverhez csatlakozik a 4367-es TCP porton át, és alkotójától érkező parancsokra vár, melyek a következők lehetnek:
. DoS-támadás kezdeményezése
. process-ek leállítása, indítása
. file-ok letöltése, futtatása
. a fenyegetés frissítése, eltávolítása stb.
– megpróbál terjedni a következő sebezhetőségek kiaknázásával:
. Windows DCOM RPC Interface Buffer Overrun Vulnerability
. Windows Local Security Authority Service Remote Buffer Overflow
. Workstation Service Buffer Overrun vulnerability
. a Microsoft SQL Server 2000 vagy az MSDE 2000 auditban rejlő hibák
. UPnP NOTIFY Buffer Overflow vulnerability
. DameWare Mini Remote Control Server Pre-Authentication Buffer Overflow vulnerability



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek