Dotkom
Újra támad a sebezhetőségeket kihasználó Gaobot féregvírus
Ismét e-mail közvetítése nélkül terjed a Gaobot féreg legújabb változata.
A féreg paraméterei
Felfedezésének ideje: 2004. május 25.
Utolsó frissítés ideje: 2004. május 25.
Veszélyeztetett rendszerek: Windows NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x/9x/Me, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: körülbelül 251 Kbyte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz
Aktiválódása esetén lezajló események
– felmásolja magát a System könyvtárba Svchostt.exe névvel
– hozzáadja a Bot Loader=Svchostt.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run és a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices Registry kulcsokhoz
– leállítja a rendszerre telepített behatolásvédelmi alkalmazások futó process-eit
– egy előre meghatározott IRC-csatornához kapcsolódik, saját IRC-kliensét használva erre; alkotójától érkező parancsokra vár
– háromféle módon igyekszik terjedni:
. kihasználja az ˝RPC DCOM˝ sebezhetőséget a 135-ös TCP porton keresztül patch letöltése
. kihasználja a ˝WebDav˝ sebezhetőséget a 80-as TCP porton keresztül patch letöltése
. kihasználja a ˝Workstation service buffer overrun˝ sebezhetőséget a 80-as TCP porton keresztül patch letöltése
– megkísérel behatolni a távoli gépeken található megosztásokba, ehhez rengeteg felhasználónév/jelszó kombinációt próbálgat ki
– ahova sikeresen behatolt, oda felmásolja magát
[fbcomments url="https://www.technokrata.hu/egazdasag/dotkom/2004/05/26/ujra-tamad-a-sebezhetosegeket-kihasznalo-gaobot-feregvirus/" width="800" count="off" num="3" countmsg=""]
