Connect with us

technokrata

Többszörösen fertőző féreg terjed

Dotkom

Többszörösen fertőző féreg terjed

A Beagle legújabb variánsa egyben egy trójai programot is igyekszik bejuttatni a fertőzött rendszerbe.

A fertőzött levél tulajdonságai

Tárgy: üres
Tartalom: szintén üres
Csatolmány: az alábbiak közül egy:
– Price_new.zip
– Price_new_16_04_05.zip
– Work.zip
– Be_not_jealous.zip
Megjegyzés: a tömörített állomány az 1804_2005.exe file-t tartalmazza, ami a Tooso nevű trójai program egiyk változata, s ez felel az e-mailküldő modul letöltéséért

A féreg paraméterei

Felfedezésének ideje: 2005. április 21.
Utolsó frissítés ideje: 2005. április 21.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nem ismert
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza a System könyvtárban az svc.exe állományt
– létrehozza a következő mutexeket, hogy megakadályozza a Netsky egyes variánsainak működését:
• MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
• ´D´r´o´p´p´e´d´S´k´y´N´e´t´
• _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
• [SkyNet.cz]SystemsMutex
• AdmSkynetJklS003
• ____—>>>>U<<<<--_____
• -oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
– hozzáadja az erthgdr=[System elérési útvonala]/svc.exe bejegyzést a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Ru1n és a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Ru1n kulcshoz
– létrehozhatja a következő kulcsokat a rendszerleíró adatbázisban:
• HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Ru1n
• HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Ru1n
– rengeteg Registry-kulcsot képes letörölni, mely behatolásvédelmi szoftverekkel van kapcsolatban
– megkísérel a smtp.earthlink.net URL-hez csatlakozni a 25-ös porton keresztül, így ellenőrizve le az Internet-csatlakozást
– amennyiben a rendszerdátum 2008. április 12-e utáni, letörli a következő két bejegyzést a rendszerleíró adatbázisból:
• KEY_CURRENT_USER/Software/ert
• HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Ru1n/”erthgdr”
– megkísérel letölteni egy állományt, melyet re_file.exe néven ment el a System könyvtárba
– a 80-as TCP porton át hátsó kaput nyit a rendszeren, így a PC a továbbiakban e-mail relay-ként funkcionálhat
– PHP kérelmet intéz a nudp.com oldalhoz, aminek eredményét elmenti a Windows mappába eml.exe néven
– saját SMTP-motorja révén továbbítja a Trojan.Tooso.F másolatát



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek