Vírus, ami szoftvereink regisztrációs kulcsai után kutat

Geza Papp, 2004. október 18. 20:00
Mindenki utálja, ha "matatnak" a számítógépén, utálja, ha adatokat lopnak el róla, ha figyelik a billentyűleütéseit, ha a gépe szerverként működik, vagy kéretlen leveleket küld, esetleg trágárságokat ír a "csevegő programjain" barátainak. Azt még jobban utálja, ha ismeretlen állományokat töltenek, a gépére, és futtatják azokat, de talán a "legellenszenvesebb", ha a gépén lévő alkalmazások regisztrációs kulcsait lopják el - ha vannak... Erre új filmjeiben az egyre "sharmosabb" 007-es ügynök volt képes (a hölgyek nagy örömére), de most James Bond-unk nem hiszem, hogy akárki szívébe lopná magát. Ezt a 007-es ügynököt, ezt a "szuperkémet" W32/Sluter-E névvel illették, ma észlelték, és identifikálták 18 October 2004 07:53:51 (GMT) -kor a Sophos Plc. vírus laboratóriumában.
Az egyáltalán nem szimpatikus W32/Sluter-E egy hálózati féreg, megosztott hálózatokon és "csevegőprogramokon" terjed, a fertőzés a Windows operációs rendszereket érinti. "Különös ismertetőjegyei" más tulajdonságai mellett, hogy:

Kikapcsolja az antivírus alkalmazásokat
Engedélyezi a számítógépre illetéktelenek belépését
Információkat gyűjt, és lop el
Csökkenti a rendszer biztonságát
Rögzíti a billentyűleütéseket
Végül, de nem utolsó sorban bejegyzéseket telepít a regisztrációs adatbázisba


A W32/Sluter-E Windows platformot fertőző IRC hátsó ajtó trójai, és hálózati féreg. A féreg megosztott hálózatokon terjed, miközben fürkészi a hálózatokra kapcsolódó számítógépeket, melyeken ismert - és ki nem javított - rendszer-sebezhetőségeket keres.

A fertőzés utáni első futásakor a féreg winsci32.exe fájlnéven jegyzi be magát a Windows system könyvtárba. Ezen túl, hogy a rendszer indításakor minden alkalommal fusson a W32/Sluter-E is, az alábbi bejegyzéseket írja a regisztrációs adatbázis megfelelő kulcsaihoz:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Winsci Loaded = %System%\winsci32.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Winsci Loaded = %System%\winsci32.exe

A féreg "Winsci32" nevű rendszerszolgáltatás (system service) néven bejegyzi magát úgy, hogy az imagepath ("végrehajtási út") a winsci32.exe - re mutat.

W32/Sluter-E csatlakozik egy IRC csatornához ahonnan a parancsokat egy távoli felhasználótól küldi. A hátsó ajtó összetevő utasításra a következő funkciók bármelyikére képes:

SOCKS4 proxy szerver
FTP szerver
E-mail küldés
Keylogger (billentyűleütés-figyelő funkció)
Képes DDoS támadások indítására (SYN, ICMP, Ping)
Ellopja a különböző termékek, alkalmazások regisztrációs kulcsait (ha van...)
Sértő szövegeket illeszt be az alábbi programok nyitott ablakaiba , és továbbítja azokat (AIM, Yahoo, MSN Messenger)
Összegyűjti a rendszerinformációkat (filesystem, hardware, futó folyamatok stb.)
Kinyitja és bezárja CDROM tálcákat
Utasításra letölt/feltölt állományokat
Alkalmazásokat futtat (parancsra)


A W32/Sluter-E "lekérdezi" a regisztrációs adatbázis bejegyzéseiből az alábbi meghatározott játékok kulcsait:

HKLM\Software\Westwood\Tiberian Sun
HKLM\Software\Westwood\Red Alert 2
HKLM\Software\IGI 2 Retail\CDKey
HKLM\Software\Electronic Arts\EA GAMES\Generals\ergc
HKLM\Software\Electronic Arts\EA Sports\FIFA 2003\ergc
HKLM\Software\Electronic Arts\EA GAMES\Need For Speed Hot Pursuit
HKCU\Software\Eugen Systems\The Gladiators
HKLM\Software\Activision\Soldier of Fortune II - Double Helix
HKLM\Software\BioWare\NWN\Neverwinter
HKLM\Software\Red Storm Entertainment\RAVENSHIELD
HKLM\Software\Electronic Arts\EA GAMES\Battlefield 1942 The Road to Rome
HKLM\Software\Electronic Arts\EA GAMES\Battlefield 1942
HKLM\Software\IGI 2 Retail
HKCU\Software\Valve\CounterStrike\Settings
HKLM\Software\Unreal Technology\Installed Apps\UT2003
HKCU\Software\Valve\Half-Life\Settings

A féreg ellen védekezni a rendszeren futó antivírus programok adatbázisainak frissítésével lehet. Van olyan AV program, aminek az adatbázisa már ismeri ezt a károkozót. Csökkentett módban, kézzel indítva az AV programot törölhetjük a féreg állományokat. A registry bejegyzéseket manuálisan távolítsuk el - miután a regisztrációs adatbázisunkról biztonsági mentést készítünk.

Vírusmentes napot!

Papp Géza dr.
Networksecurity and Virusanalyst