Connect with us

Hirdetés

technokrata

Hálózati adatforgalmat logoló féreg

Dotkom

Hálózati adatforgalmat logoló féreg

Ismét egy olyan féreg terjed, ami az online keresőmotorok révén gyűjt e-mailcímeket, és ezek által szaporodik; de Windows-os sebezhetőséget is képes kiaknázni e célból.

A fertőzött e-mail jellemzői
Tárgy: a következők közül egy:
. OK. Read the attached instructions to solve the problem.
. Here are the details.
. Re: Thank you for your choice.
. Thank you for shopping. This mail contains your invoice.
. Thank you. Your credit card was processed successfully.

Csatolmány: a féreg véletlenszerűen választ egy nevet a bejelentkezett felhasználó profiljában (User Profile) található Recent könyvtárban levő állományok neve alapján; a kiterjesztés .zip lesz

A féreg paraméterei

Felfedezésének ideje: 2005. május 1.
Utolsó frissítés ideje: 2005. május 2.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 118.272 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– a következő neveken másolja be magát a Windows könyvtárba: smss.exe, lsass.exe, csrss.exe, services.exe, winlogon.exe
– létrehozza a Windows Object Manager nevű service-t
– hozzáadja a HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Enum/Root/LEGACY_WINDOWS_OBJECTS_MANAGER/0000/Control Registry kulcshoz a “NewlyCreated*” = “0” és az “ActiveService” = “Windows Objects Manager” bejegyzéseket
– a HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Enum/Root/LEGACY_WINDOWS_OBJECTS_MANAGER/0000 kulcsba a következő bejegyzéseket rögzíti:
. “Service” = “Windows Objects Manager”
. “Legacy” = “1”
. “ConfigFlags” = “0”
. “Class” = “LegacyDriver”
. “ClassGUID” = “{8ECC055D-047F-11D1-A537-0000F8753ED1}”
. “DeviceDesc” = “COM+ System Application “
– a fentieken túl további módosításokat is végez a rendszerleíró adatbázisban
– e-mailcímek után kutat a népszerűbb internetes keresőmotorok használatával
– a fent ismertetett karakterisztikában elküldi magát minden címre, amit talált
– olyan számítógépek után kutat a helyi hálózaton, melyek ki vannak téve a Windows LSASS Buffer Overrun Vulnerability-nek, ezekbe megpróbál behatolni
– elkezdi figyelni a hálózati adatforgalmat annak érdekében, hogy jelszavakhoz juthasson hozzá
– minden állományt letöröl, amit a Windows repair mappájában talál



Szólj hozzá!

További Dotkom

Hirdetés

Népszerű

Hirdetés

Technokrata a Facebookon

Hirdetés

IoT-Magazin.hu

Hirdetés

Kütyük

Smart home

Így képzelik el a magyarok az álomotthonukat

2024. március 20. szerda

Office

Foglalj helyet, hogy helyet foglalhass!

2024. március 13. szerda

Smart home

Okoskészülék vagy hagyományos háztartási gép?

2024. február 28. szerda
owlet care babafigyelő

Smart home

OWLET CARE a magyarországi piacon!

2024. február 26. hétfő
Hirdetés

Dotkom

Műszaki-Magazin.hu

Hirdetés