A súlyos Windows hibát kihasználó trójai program jelent meg

A trójai program tulajdonságai

Felfedezésének ideje: 2003. augusztus 2.
Utolsó frissítés ideje: 2003. augusztus 3.
Veszélyeztetett rendszerek: Windows NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x/9x/Me/, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: több állományból áll
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

A trójai hacker eszköz része

Az eszköz (worm.exe, 113.507 byte) a C meghajtó gyökerében létrehozza a következő file-okat: rpc.exe, rpctest.exe, tftpd.exe (143.842 byte – FTP-szerver). Az rpc.exe (40.960 byte) a következő dolgokat teszi:
– elindítja a tftpd-t, ami egy FTP szerver, ennek révén letölthetővé válik a trójainak a kiszolgáltatott rendszerről való letöltése
– kapcsolatot kísérel meg létrehozni a 445-ös porton több, véletlenszerűen generált IP-címen (A.B.C.D):
A: 4, 12, 24, 64, 65, 68, 128,165, 208, 211, 213,217,218, 220
B: véletlenszám 0 és 255 között
C, D: a féreg végigpróbálgatja az összes lehetőséget (a 0.1-től a 255.255-ig)
– az rcptest.exe (94.298 byte) állomány révén megnyit egy távoli parancs shellt, amin utasításokat küld: megpróbálja kihasználni a Microsoft sérülékenységet

A trójai backdoor része

Vagy lolx.exe vagy dcomx.exe névre van keresztelve (26.144 byte) – ez tulajdonképpen az Sdbot nevű trójai programra alapul. Aktiválódása esetén felcsatlakozik az IRC-re, majd egy csatornához kapcsolódik és parancsokra vár. A következő lehetőségeket kínálja alkotójának:
– ICQ üzenetben értesíti íróját a trójai futásának kezdetéről
– file-okat tölthet le és futtathat
– futó processeket lehet leállítani
– képes a rendszerbe betelepült trójait dinamikusan frissíteni
– DoS-támadásokat indíthat
– CD-kulcsokat lehet megszerezni
– hálózati megosztásokat lehet eltávolítani
– figyelhetők a leütött billentyűk
– további rendszerek megtámadása