Dotkom
Újabb weboldalakat támad a Windows-sérülékenységet kihasználó féreg
A Korgo W változata ismét weboldalak ellen intéz DoS-támadást; terjedését pedig még mindig a már több mint egy hónapja ismert LSASS-sebezhetőségre alapozza.
A féreg paraméterei
Felfedezésének ideje: 2004. július 2.
Utolsó frissítés ideje: 2004. július 2.
Veszélyeztetett rendszerek: Windows 2k/XP
Nem érintett rendszerek: Windows 3.x/9x/Me/NT/2k3, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 9.359 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű
Aktiválódása esetén lezajló események
– letörli az Ftpupd.exe állományt abból a mappából, ahonnan elindításra került
– különböző mutexeket hoz létre, ezzel gátolva meg többszöri betöltődését
– letörli a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsból a következő bejegyzéseket (ha azok léteznek):
. Windows Security Manager
. Disk Defragmenter
. System Restore Service
. Bot Loader
. WinUpdate
. Windows Update Service
. avserve.exe
. avserve2.exeUpdate Service
. MS Config v13
. Windows Update
– felmásolja magát a System mappába egy véletlenszerűen generált file-néven, EXE kiterjesztéssel
– hozzáadja a Client=1 és az ID=[véletlen érték] bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Wireless Registry kulcshoz
– hozzáadja a System Update=[System elérési útvonala]/[véletlenszerűen generált file-név].exe vagy a Cryptographic Service=[System elérési útvonala]/[véletlenszerűen generált file-név].exe bejegyzést a
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run kulcshoz
– megkísérel egy funkciót bevinni az Explorer.exe-be, ha ez sikerrel jár, minden további művelet, amit a féreg véghez visz, már láthatatlan lesz, mivel a Task Managerben nem látszik külön az Explorer.exe-be befészkelődött kártevő
– ha a fenti művelet nem jár sikerrel, a féreg saját process-ében fut tovább
– megnyit egy véletlenszerűen választott TCP portot, melyen keresztül terjeszti magát
– megkísérel az alábbi webcímekhez csatlakozni, s oda kérelmet küldeni; ez voltaképp felfogható DoS-támadásnak is
. adult-empire.com
. asechka.ru
. citi-bank.ru
. color-bank.ru
. crutop.nu
. cvv.ru
. fethard.biz
. filesearch.ru
. kavkaz.tv
. kidos-bank.ru
. konfiskat.org
. master-x.com
. mazafaka.ru
. parex-bank.ru
. roboxchange.com
. www.redline.ru
. xware.cjb.net
– elindít egy végrehajtási szálat az LSASS-sebezhetőség kihasználása végett, mellyel véletlenszerűen generált IP-címek 445-ös portján keresztül probálkozik
– ha sikeresen be tudott jutni egy rendszerbe, akkor a célpont számítógép visszacsatlakozik a megfertőzödött PC-hez, letölti, majd futtatja a férget
[fbcomments url="https://www.technokrata.hu/egazdasag/dotkom/2004/07/05/ujabb-weboldalakat-tamad-a-windows-serulekenyseget-kihasznalo-fereg/" width="800" count="off" num="3" countmsg=""]
