Connect with us

technokrata

Még egy IM-eket támadó féreg terjed

Dotkom

Még egy IM-eket támadó féreg terjed

Az Allim nevű féreg B változata elsősorban az AIM-et használó internetezőket fenyegeti.

A féreg paraméterei

Felfedezésének ideje: 2005. április 27.
Utolsó frissítés ideje: 2005. április 28.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 97.331 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– kibontja magát az önkicsomagoló RAR állományból, amin keresztül megérkezett a rendszerbe, mégpedig a Program Files/aolx mappába: as.exe, proto.exe (a Backdoor.Sdbot egyik variánsa)
– hozzáadja a “[Program Files elérési útvonala]/aolx” = “C:/Program Files/aolx” bejegyzést a HKEY_CURRENT_USER/Software/WinRAR SFX Registry kulcshoz
– elküldi a következő üzenetet az összes AIM kontakt számára: hey check out this!; ahol a this! sztring egy weboldalra mutató link
– amennyiben a felhasználó rákattint a fenti hiperhivatkozásra, letöltődik egy állomány (a Backdoor.Sdbot egyik változata), majd futtatásra is kerül a megtámadott rendszeren
– felmásolja a féreg letöltött változatát a System mappába, procmsg.exe névvel
– hozzáadja a “Windows Generic Proc” = “procmsg.exe” bejegyzést az alábbi Registry alkulcsokba:
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/OLE
. HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa
– módosítja a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System kulcs következő két bejegyzését: “DisableRegistryTools” = “0x31”, “DisableTaskMgr” = “0x31”; ennel révén mind a Registry szerkesztő eszközöket, mind a task managert letiltja az adott rendszerben
– a következő lehetőségeket kínálja fel alkotójának:
. hátsó kapu nyitása
. process-ek és service-ek leállítása
. a számítógép relay szerverként vagy proxy-ként való felhasználása



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek