Dotkom
Játékkulcsokat lopkodó féregvírus
A Gaobot legújabb, YC változata elosztott szolgáltatásmegtagadó támadást indít, játékok CD-kulcsait tulajdonítja el, s képes más férgeket is feltelepíteni az adott rendszerre.
A féreg paraméterei
Felfedezésének ideje: 2004. április 7.
Utolsó frissítés ideje: 2004. április 10.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 392.192 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz
Aktiválódása esetén lezajló események
– felmásolja magát a System könyvtárba svhst.exe néven
– hozzáadja a Configuration Loader=svhst.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run és a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices Registry kulcsokhoz
– megnyit egy véletlenszerűen választott TCP portot, hogy felvegye a kapcsolatot alkotójával
– egy előre meghatározott IRC-csatornához kapcsolódik, saját IRC-kliensét használva erre; alkotójától érkező parancsokra vár
– IP-címet generál, majd DDoS-támadást kísérel meg célzott rendszerek ellen
– proxy-ként viselkedik, hogy a más számítógépekről érkező támadásokat tovább tudja irányítani
– háromféle módon igyekszik terjedni:
. kihasználja az ˝RPC DCOM˝ sebezhetőséget a 135-ös TCP porton keresztül patch letöltése
. kihasználja az ˝RPC locator˝ sebezhetőséget a 445-ös TCP porton keresztül patch letöltése
. kihasználja a ˝WebDav˝ sebezhetőséget a 80-as TCP porton keresztül patch letöltése
– megkísérel behatolni a távoli gépeken található megosztásokba, ehhez számos felhasználónév/jelszó kombinációt próbálgat ki
– ha sikerült bejutnia, felmásolja magát a kinyitott rendszerre
– a távoli számítógép hálózati megosztásában létrehozza a Backdoor.Gaobot trójai programot, melyet aztán le is futtat
– a kiszolgáltatott rendszerre feltelepített játékok közül jónéhánynak képes ellopni a CD-kulcsát
– leállítja a rendszerre telepített behatolásvédelmi alkalmazások futó process-eit
– le tudja állítani a rendszert esetleg korábban már megfertőzött férgek futó process-eit, a következő állományokhoz kapcsolódóan: taskmon.exe, bbeagle.exe, d3dupdate.exe, winsys.exe, ssate.exe, i11r54n4.exe, rate.exe, irun4.exe, Ssate.exe
– két, véletlenszerűen választott porton (egy 1000 alatt, egy 10000 felett) hallgatózik, hogy más, fertőzött számítógépekről érkező, féregszerű üzenetekre reagálni tudjon
[fbcomments url="https://www.technokrata.hu/egazdasag/dotkom/2004/04/13/jatekkulcsokat-lopkodo-feregvirus/" width="800" count="off" num="3" countmsg=""]
