Dotkom
Weboldalakat tesz elérhetetlenné a Gaobot féregvírus
Kísértetiesen hasonlít társára az a Gaobot féreg, mely a fertőzött rendszeren elérhetetlenné tesz bizonyos weboldalakat.
A féreg paraméterei
Felfedezésének ideje: 2004. április 8.
Utolsó frissítés ideje: 2004. április 10.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 158.720 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz
Aktiválódása esetén lezajló események
– felmásolja magát a System könyvtárba regsvc32.exe néven
– hozzáadja a Compatibility Service Process=regsvc32.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run és a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices Registry kulcsokhoz
– megnyit egy véletlenszerűen választott TCP portot, hogy felvegye a kapcsolatot alkotójával
– egy előre meghatározott IRC-csatornához kapcsolódik, saját IRC-kliensét használva erre; alkotójától érkező parancsokra vár
– IP-címet generál, majd DDoS-támadást kísérel meg célzott rendszerek ellen
– proxy-ként viselkedik, hogy a más számítógépekről érkező támadásokat tovább tudja irányítani
– háromféle módon igyekszik terjedni:
. kihasználja az ˝RPC DCOM˝ sebezhetőséget a 135-ös TCP porton keresztül patch letöltése
. kihasználja az ˝RPC locator˝ sebezhetőséget a 445-ös TCP porton keresztül patch letöltése
. kihasználja a ˝WebDav˝ sebezhetőséget a 80-as TCP porton keresztül patch letöltése
– megkísérel behatolni a távoli gépeken található megosztásokba, ehhez rengeteg felhasználónév/jelszó kombinációt próbálgat ki
– ha sikerült bejutnia, felmásolja magát a kinyitott rendszerre
– a távoli számítógép hálózati megosztásában létrehozza a Backdoor.Gaobot trójai programot, melyet aztán le is futtat
– a kiszolgáltatott rendszerre feltelepített játékok közül jónéhánynak képes ellopni a CD-kulcsát
– a System/drivers/etc könyvtárban található hosts file tartalmát felülírja úgy, hogy elérhetetlenné teszi a Symantec, a Trend Micro, a Kaspersky, a Network Associates a Sophos, a McAfee és még más, IT-biztonsággal foglalkozó cégek egyes weboldalait
– leállítja a rendszerre telepített behatolásvédelmi alkalmazások futó process-eit
– két, véletlenszerűen választott porton (egy 1000 alatt, egy 10000 felett) hallgatózik, hogy más, fertőzött számítógépekről érkező, féregszerű üzenetekre reagálni tudjon
[fbcomments url="https://www.technokrata.hu/egazdasag/dotkom/2004/04/13/weboldalakat-tesz-elerhetetlenne-a-gaobot-feregvirus/" width="800" count="off" num="3" countmsg=""]
