Dotkom
Hátsó kapukon keresztül fertőz a Gaobot féregvírus
A Gaobot legújabb változata a Mydoom által nyitott hátsó kapuk révén és hálózati megosztásokon keresztül szaporodik.
A féreg paraméterei
Felfedezésének ideje: 2004. június 28.
Utolsó frissítés ideje: 2004. június 29.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 55.296 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű
Aktiválódása esetén lezajló események
– felmásolja magát a System könyvtárba Msnss.exe és Msgfix.exe névvel
– hozzáadja a Configuration Loader=msnss.exe és a a Configuration Loader=Msgfix.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run, a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices és a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsokhoz
– megkísérli eltulajdonítani a Windows termék- és a játékok CD-kulcsát
– leállítja a rendszerre telepített behatolásvédelmi alkalmazások futó process-eit
– egy előre meghatározott IRC-csatornához kapcsolódik, saját IRC-kliensét használva erre; alkotójától érkező parancsokra vár
– megkísérel behatolni a távoli gépeken található megosztásokba, ehhez rengeteg felhasználónév/jelszó kombinációt próbálgat ki
– ahova sikeresen bejutott, oda (a következő helyekre) felmásolja magát:
. IPC$/msgfix.exe
. D$/msgfix.exe
. print$/msgfix.exe
. c$/msgfix.exe
. Admin$msgfix.exe
. c$/windows/system32/msgfix.exe
. c$/winnt/system32/msgfix.exe
. Admin$/system32/msgfix.exe
– olyan számítógépek után kutat, melyeket a Mydoom variánsok valamelyike megfertőzött; ha talál, akkor a féreg által odatelepített hátsó kapun keresztül juttatja be magát
[fbcomments url="https://www.technokrata.hu/egazdasag/dotkom/2004/06/30/hatso-kapukon-keresztul-fertoz-a-gaobot-feregvirus/" width="800" count="off" num="3" countmsg=""]
