Connect with us

technokrata

Újra mutálódott az MSN Messengert támadó féreg

Dotkom

Újra mutálódott az MSN Messengert támadó féreg

Immár az R változatnál járunk, ami a microsoftos üzenőprogramot használókat veszélyeztető Kelvir férget illeti.

A féreg paraméterei

Felfedezésének ideje: 2005. április 12.
Utolsó frissítés ideje: 2005. április 14.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nem ismert
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– szokás szerint MSN Messengeren keresztül üzen az áldozatnak, amely szöveg egy linket is tartalmaz, amire rákattintva töltődik le a féreg
– felmásolja az rBot.exe állományt (a Spybot féreg egyik variánsa) és a kevin.exe file-t (ami a féreg üzenetküldő komponense) a Program Files mappában létrehozott KEVIN könyvtárba
– hozzáadja a “C%[Program Files elérési útvonala]KEVIN” = “[Program Files elérési útvonala]/KEVIN” bejegyzést a HKEY_CURRENT_USER/Software/WinRAR SFX Registry kulcshoz
– felmásolja magát a System könyvtárba svchost32.exe néven, melynek rejtett, csak olvasható és rendszer attributumot állít be
– hozzáadja a Universal USB Service=svchost32.exe bejegyzést az alábbi Registry alkulcsokhoz:
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/OLE
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
– hozzáadja a HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows Registry kulcshoz a “load” = “C:/Program Files/KEVIN/Kevin.exe” bejegyzést
– a DCOM RPC, az LSASS, valamint a Microsoft SQL Server 2000 és az MSDE 2000 auditban rejlő hibákat kihasználva igyekszik tovaterjedni
– felméri a hálózatba csatlakoztatott számítógépek előtt ülő felhasználók számát, majd megkísérli magát a hálózati megosztásokba felmásolni
– trójai funkciója miatt a következő lehetőségeket kínálja alkotójának a megtámadott rendszeren:
. hátsó kaput nyit a rendszeren
. el tudja lopni számos játék CD-kulcsát
. megkísérelhet process-eket és service-eket leállítani
. keyloggert telepíthet
. a PC-t proxy-ként vagy relay-szerverként használhatja



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek