Connect with us

Újra mutálódott az MSN Messengert támadó féreg

Dotkom

Újra mutálódott az MSN Messengert támadó féreg

Immár az R változatnál járunk, ami a microsoftos üzenőprogramot használókat veszélyeztető Kelvir férget illeti.

A féreg paraméterei

Felfedezésének ideje: 2005. április 12.
Utolsó frissítés ideje: 2005. április 14.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nem ismert
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– szokás szerint MSN Messengeren keresztül üzen az áldozatnak, amely szöveg egy linket is tartalmaz, amire rákattintva töltődik le a féreg
– felmásolja az rBot.exe állományt (a Spybot féreg egyik variánsa) és a kevin.exe file-t (ami a féreg üzenetküldő komponense) a Program Files mappában létrehozott KEVIN könyvtárba
– hozzáadja a “C%[Program Files elérési útvonala]KEVIN” = “[Program Files elérési útvonala]/KEVIN” bejegyzést a HKEY_CURRENT_USER/Software/WinRAR SFX Registry kulcshoz
– felmásolja magát a System könyvtárba svchost32.exe néven, melynek rejtett, csak olvasható és rendszer attributumot állít be
– hozzáadja a Universal USB Service=svchost32.exe bejegyzést az alábbi Registry alkulcsokhoz:
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/OLE
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
– hozzáadja a HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows Registry kulcshoz a “load” = “C:/Program Files/KEVIN/Kevin.exe” bejegyzést
– a DCOM RPC, az LSASS, valamint a Microsoft SQL Server 2000 és az MSDE 2000 auditban rejlő hibákat kihasználva igyekszik tovaterjedni
– felméri a hálózatba csatlakoztatott számítógépek előtt ülő felhasználók számát, majd megkísérli magát a hálózati megosztásokba felmásolni
– trójai funkciója miatt a következő lehetőségeket kínálja alkotójának a megtámadott rendszeren:
. hátsó kaput nyit a rendszeren
. el tudja lopni számos játék CD-kulcsát
. megkísérelhet process-eket és service-eket leállítani
. keyloggert telepíthet
. a PC-t proxy-ként vagy relay-szerverként használhatja



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek

SAN BERNARDINO, OCTOBER 29: Shipping orders go by on a conveyor belt at Amazon's San Bernardino Fulfillment Center October 29, 2013 in San Bernardino, California. Amazon's 1 million square-foot facility in the hard hit San Bernardino County has created more than 800 jobs at the center. Fulfillment centers are where products sold by other vendors on Amazon.com store their inventory. (Photo by Kevork Djansezian/Getty Images)
20170802_093113

Tesztek

Kipróbáltam a Kingston legújabb SD-kártya olvasóját

2017. augusztus 3. csütörtök
SAMSUNG CSC
SAMSUNG CSC

Mobil tesztek

Teszt: Megvizsgáltuk, milyen az új Honor 8 (video)

2017. május 23. kedd
uobelqc8

Mobil tesztek

Teszt: Megnéztük magunknak a Huawei P10 Plus-t

2017. május 4. csütörtök
SAMSUNG CSC

Laptop tesztek

Teszt: Fujitsu Lifebook U747 – A pehelysúlyú bajnok

2017. április 14. péntek
SAMSUNG CSC

Audió Eszközök

TESZT: iFrogz – Coda Wireless család

2017. április 11. kedd
SAMSUNG CSC

Okosóra tesztek

Teszt: Casio Edifice EQB-600

2017. március 28. kedd
the_english_surgeon_534448a

Alkalmazások, szoftverek

Idegesek leszünk, ha nem tölt fel elég gyorsan a selfie?

2017. február 27. hétfő
09

Autók

De miééért kellett ezt tenni az orrával?

2017. február 22. szerda