Dotkom
Nehezen távolítható el a Gaobot féreg legújabb változata
Négy Windows hibát is ki tud használni a Gaobot legújabb változata saját maga elterjesztésének érdekében.
A féreg paraméterei
Felfedezésének ideje: 2004. április 1.
Utolsó frissítés ideje: 2004. április 2.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nem ismert
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: nehéz
Aktiválódása esetén lezajló események
– felmásolja magát a System könyvtárba regsvc32.exe néven
– hozzáadja a Generic Service Process=regsvc32.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run és a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices Registry kulcsokhoz
– megkísérli megfertőzni az összes futó process-t, ha sikerrel jár, a fenti állomány minden process számára láthatatlanná válik, ráadásul az újonnan induló process-ek is fertőzötté válnak; ezáltal megakadályozhatja a felhasználó hozzáférését a regsvc32.exe file-hoz
– leállítja a rendszerre telepített behatolásvédelmi alkalmazások futó process-eit
– le tudja állítani a rendszert esetleg korábban már megfertőzött férgek futó process-eit, a következő állományokhoz kapcsolódóan: taskmon.exe, bbeagle.exe, d3dupdate.exe, winsys.exe, ssate.exe, i11r54n4.exe, rate.exe, irun4.exe, Ssate.exe
– a System/drivers/etc könyvtárban található hosts file tartalmát felülírja úgy, hogy elérhetetlenné teszi a Symantec, a Trend Micro, a Kaspersky, a Network Associates a Sophos, a McAfee és még más, IT-biztonsággal foglalkozó cégek egyes weboldalait
– egy előre meghatározott IRC-csatornához kapcsolódik, saját IRC-kliensét használva erre; alkotójától érkező parancsokra vár
– négyféle módon igyekszik terjedni:
. kihasználja az ˝RPC DCOM˝ sebezhetőséget a 135-ös TCP porton keresztül patch letöltése
. kihasználja az ˝RPC locator˝ sebezhetőséget a 445-ös TCP porton keresztül patch letöltése
. kihasználja a ˝WebDav˝ sebezhetőséget a 80-as TCP porton keresztül patch letöltése
. kihasználja a ˝Workstation service buffer overrun˝ sebezhetőséget a 445-ös TCP porton keresztül patch letöltése
– megnyit egy TCP portot (véletlenszerűen választ), majd elküldi önmaga másolatát minden olyan távoli számítógépre, mely távolról ezt a portot használja
– ezek után megkísérel behatolni a távoli gépeken található megosztásokba, ehhez számos felhasználónév/jelszó kombinációt próbálgat ki
– ha sikerült bejutnia, felmásolja magát a kinyitott rendszerre, majd megkísérli a PayPal és az AOL AIM információkat billentyűzet-leütés figyeléssel ellopni
[fbcomments url="https://www.technokrata.hu/egazdasag/dotkom/2004/04/05/nehezen-tavolithato-el-a-gaobot-fereg-legujabb-valtozata/" width="800" count="off" num="3" countmsg=""]
