Dotkom
Windows-os hibák segítségével terjedő féreg
A Spybot NLI változata továbbra is a szükséges patch-ekkel el nem látott operációs rendszereket támadja meg.
A féreg paraméterei
Felfedezésének ideje: 2005. április 10.
Utolsó frissítés ideje: 2005. április 11.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nem ismert
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz
Aktiválódása esetén lezajló események
– elsőként a C meghajtó gyökerében jelenik meg, Service.exe néven
– felmásolja a System mappába önmagát scvhosts.exe néven, melynek attributumát rejtettre, csak olvashatóra és rendszerre állítja
– hozzáadja a “Windows Host Service” = “scvhosts.exe” bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run, a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices és a HKEY_CURRENT_USER/Software/Microsoft/OLE kulcsokhoz
– megpróbál terjedni a következő sebezhetőségek kiaknázásával:
. Windows DCOM RPC Interface Buffer Overrun Vulnerability
. Windows Local Security Authority Service Remote Buffer Overflow
. Workstation Service Buffer Overrun vulnerability
– az ftpservice.015.info domainen található IRC-szerverhez csatlakozik, és alkotójától érkező parancsokra vár, melyek a következők lehetnek:
. DoS-támadás kezdeményezése
. process-ek leállítása, indítása
. file-ok letöltése, futtatása
. a fenyegetés frissítése, eltávolítása
[fbcomments url="https://www.technokrata.hu/egazdasag/dotkom/2005/04/12/windows-os-hibak-segitsegevel-terjedo-fereg/" width="800" count="off" num="3" countmsg=""]
