Dotkom
Újabb féreg a Windows-sebezhetőséget kihasználnó Sasser nyomán
Rögtön három változatot is elkülönítettek az LSASS-sebezhetőséget kihasználni tudó Bobax féregből, mely a fertőzött PC-kből spammelő zombit képes csinálni.
A féreg paraméterei
Felfedezésének ideje: 2004. május 17.
Utolsó frissítés ideje: 2004. május 18.
Veszélyeztetett rendszerek: Windows 2k/XP/2k3
Nem érintett rendszerek: Windows 3.x/9x/Me/NT, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 21.504 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: közepesen nehéz
Aktiválódása esetén lezajló események
– EXE kiterjesztéssel, véletlenszerű karakterekből összeállított néven bemásolja magát a System könyvtárba
– hozzáad egy, a fenti file-ra mutató bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– létrehoz egy .tmp kiterjesztéssel bíró DLL állományt a Windows Temp mappájában; ez tartalmazza a féreg e-mailező funkcióját
– beleépíti a fenti DLL állományt az Explorer.exe file-ba (ennek eredményeként összeomolhat a böngésző), majd saját process-ét leállítja
– véletlenszerűen generált IP-címeket néz át, s megkísérel a 445-ös TCP porton keresztül becsatlakozni
– amennyiben sikerrel jár, megpróbálja kihasználni a Windows-ban levő LSASS sérülékenységet; ha ez is sikerül, lefuttatja saját magát a távoli számítógépen (ennek során egyébként a Sasserhez hasonlóan újraindulhat a számítógép)
– megnyit számos, véletlenszerűen kiválasztott portot és bejövő kapcsolatokra vár
– saját SMTP-szerverét is elindítja, amely révén így a megfertőzött számítógépek spam relay-kén használhatók
[fbcomments url="https://www.technokrata.hu/egazdasag/dotkom/2004/05/19/ujabb-fereg-a-windows-sebezhetoseget-kihasznalno-sasser-nyoman/" width="800" count="off" num="3" countmsg=""]
