Dotkom
Trójai képességekkel is bíró, önmagát frissíteni tudó féregvírus
A Kwbot C variánsa egyszerre féreg és trójai program is, mely ráadásul képes upgrade-elni is önmagát.
A féreg tulajdonságai
Felfedezésének ideje: 2003. február 11.
Utolsó frissítés ideje: 2003. február 13.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP, Microsoft IIS
Nem érintett rendszerek: Windows 3.x, Macintosh, OS/2, UNIX, Linux
Mérete: 553.600 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz
Aktiválódásakor bekövetkező események
– felmásolja magát a System könyvtárba System32.exe néven, rejtett attributummal
– hozzáadja a SystemSAS system32.exe bejegyzést az alábbi Registry kulcsokhoz:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce
– létrehozza a krypton nevű alkulcsot a HKEY_Local_Machine/Software Registry kulcsban
– létrehozza a Windows könyvtárban a UserTemp nevű mappát, és ide különböző figyelemfelkeltő neveken bemásolja magát; néhány példa:
Battlefield1942_bloodpatch.exe
NBA2003_crack.exe
UT2003_keygen.exe
Age of Empires 2 crack.exe
MediaPlayer Update.exe
iMesh 3.7b (beta).exe
KaZaA Speedup 3.6.exe
Download Accelerator Plus 6.1.exe
Network Cable e ADSL Speed 2.0.5.exe
Guitar Chords Library 5.5.exe
– hozzáadja a Dir? 012345:C:/Windows/UserTemp bejegyzést a következő Registry kulcsokhoz:
HKEY_Current_User/Software/Kazaa/LocalContent
HKEY_Current_User/Software/iMesh/Client/LocalContent
– a fenti bejegyzésben a kerdőjel egy, a féreg által választott számot jelöl
– véletlenszerűen TCP/UDP portokat nyit meg, melyeken keresztül kapcsolatot létesít alkotójával
– saját IRC-klienst tartalmaz, amellyel egy IRC-csatornához képes csatlakozni, ezen keresztül pedig a támadó parancsokat küldhet a trójai tulajdonságokkal is bíró féregnek
A féreg trójai része által kínált lehetőségek
– a féreg upgrade-je
– a rendszer- és hálózati információk ellopása
– file-ok letöltése és futtatása
– DoS támadások indítása egy, a hacker által választott site ellen
– a féreg más IRC-felhasználóknak való elküldése
[fbcomments url="https://www.technokrata.hu/egazdasag/dotkom/2003/02/14/trojai-kepessegekkel-is-biro-onmagat-frissiteni-tudo-feregvirus/" width="800" count="off" num="3" countmsg=""]
