Dotkom
Az Acrobat neve mögé búvó féregvírus
A Randex féreg legújabb, DFJ változata az Adobe Acrobat nevét igyekszik felhasználni önnön tevékenysége álcázására.
A féreg paraméterei
Felfedezésének ideje: 2005. április 5.
Utolsó frissítés ideje: 2005. április 6.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 104.448 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz
Aktiválódása esetén lezajló események
– felmásolja magát a System mappába acrotray.exe néven
– hozzáadja az “Adobe Acrobat Distiller Application” = “acrotray.exe” bejegyzést a következő Registry kulcsokhoz:
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
– hozzáadhatja az alábbi sort a hosts állományhoz, hogy megakadályozza a hozzáférést a Microsoft webiste-jához: 127.0.0.1 www.microsoft.com
– megkísérel véletlenszerűen generált IP-címekre bejelentkezni gyenge jelszavak végigpróbálgatásával; ha sikerrel jár, természetesen máris felmásolja és lefuttatja magát a távoli gépen
– hátsó kaput nyit a fertőzött rendszeren, így téve lehetővé alkotójának, hogy irányítsa a számítógépet; ehhez a 40404-es TCP porton keresztül csatlakozik a tunit.p2p.com.hk domainen található IRC-szerverhez
– alkotójától érkező parancsokra vár, amik a következők lehetnek:
. portscan sebezhető hálózati PC-k felkutatására
. CD-kulcsok ellopása
. rendszerinformációk megjelenítése
. DoS-támadások kezdeményezése
. file-ok letöltése és futtatása
. SOCKS4 proxy szerver indítása
[fbcomments url="https://www.technokrata.hu/egazdasag/dotkom/2005/04/08/az-acrobat-neve-moge-buvo-feregvirus/" width="800" count="off" num="3" countmsg=""]
