Vírus, ami szoftvereink regisztrációs kulcsai után kutat
Geza Papp, 2004. október 18. 20:00
Az egyáltalán nem szimpatikus W32/Sluter-E egy hálózati féreg, megosztott hálózatokon és "csevegőprogramokon" terjed, a fertőzés a Windows operációs rendszereket érinti. "Különös ismertetőjegyei" más tulajdonságai mellett, hogy:
Kikapcsolja az antivírus alkalmazásokat
Engedélyezi a számítógépre illetéktelenek belépését
Információkat gyűjt, és lop el
Csökkenti a rendszer biztonságát
Rögzíti a billentyűleütéseket
Végül, de nem utolsó sorban bejegyzéseket telepít a regisztrációs adatbázisba
A W32/Sluter-E Windows platformot fertőző IRC hátsó ajtó trójai, és hálózati féreg. A féreg megosztott hálózatokon terjed, miközben fürkészi a hálózatokra kapcsolódó számítógépeket, melyeken ismert - és ki nem javított - rendszer-sebezhetőségeket keres.
A fertőzés utáni első futásakor a féreg winsci32.exe fájlnéven jegyzi be magát a Windows system könyvtárba. Ezen túl, hogy a rendszer indításakor minden alkalommal fusson a W32/Sluter-E is, az alábbi bejegyzéseket írja a regisztrációs adatbázis megfelelő kulcsaihoz:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Winsci Loaded = %System%\winsci32.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Winsci Loaded = %System%\winsci32.exe
A féreg "Winsci32" nevű rendszerszolgáltatás (system service) néven bejegyzi magát úgy, hogy az imagepath ("végrehajtási út") a winsci32.exe - re mutat.
W32/Sluter-E csatlakozik egy IRC csatornához ahonnan a parancsokat egy távoli felhasználótól küldi. A hátsó ajtó összetevő utasításra a következő funkciók bármelyikére képes:
SOCKS4 proxy szerver
FTP szerver
E-mail küldés
Keylogger (billentyűleütés-figyelő funkció)
Képes DDoS támadások indítására (SYN, ICMP, Ping)
Ellopja a különböző termékek, alkalmazások regisztrációs kulcsait (ha van...)
Sértő szövegeket illeszt be az alábbi programok nyitott ablakaiba , és továbbítja azokat (AIM, Yahoo, MSN Messenger)
Összegyűjti a rendszerinformációkat (filesystem, hardware, futó folyamatok stb.)
Kinyitja és bezárja CDROM tálcákat
Utasításra letölt/feltölt állományokat
Alkalmazásokat futtat (parancsra)
A W32/Sluter-E "lekérdezi" a regisztrációs adatbázis bejegyzéseiből az alábbi meghatározott játékok kulcsait:
HKLM\Software\Westwood\Tiberian Sun
HKLM\Software\Westwood\Red Alert 2
HKLM\Software\IGI 2 Retail\CDKey
HKLM\Software\Electronic Arts\EA GAMES\Generals\ergc
HKLM\Software\Electronic Arts\EA Sports\FIFA 2003\ergc
HKLM\Software\Electronic Arts\EA GAMES\Need For Speed Hot Pursuit
HKCU\Software\Eugen Systems\The Gladiators
HKLM\Software\Activision\Soldier of Fortune II - Double Helix
HKLM\Software\BioWare\NWN\Neverwinter
HKLM\Software\Red Storm Entertainment\RAVENSHIELD
HKLM\Software\Electronic Arts\EA GAMES\Battlefield 1942 The Road to Rome
HKLM\Software\Electronic Arts\EA GAMES\Battlefield 1942
HKLM\Software\IGI 2 Retail
HKCU\Software\Valve\CounterStrike\Settings
HKLM\Software\Unreal Technology\Installed Apps\UT2003
HKCU\Software\Valve\Half-Life\Settings
A féreg ellen védekezni a rendszeren futó antivírus programok adatbázisainak frissítésével lehet. Van olyan AV program, aminek az adatbázisa már ismeri ezt a károkozót. Csökkentett módban, kézzel indítva az AV programot törölhetjük a féreg állományokat. A registry bejegyzéseket manuálisan távolítsuk el - miután a regisztrációs adatbázisunkról biztonsági mentést készítünk.
Vírusmentes napot!
Papp Géza dr.
Networksecurity and Virusanalyst
Kikapcsolja az antivírus alkalmazásokat
Engedélyezi a számítógépre illetéktelenek belépését
Információkat gyűjt, és lop el
Csökkenti a rendszer biztonságát
Rögzíti a billentyűleütéseket
Végül, de nem utolsó sorban bejegyzéseket telepít a regisztrációs adatbázisba
A W32/Sluter-E Windows platformot fertőző IRC hátsó ajtó trójai, és hálózati féreg. A féreg megosztott hálózatokon terjed, miközben fürkészi a hálózatokra kapcsolódó számítógépeket, melyeken ismert - és ki nem javított - rendszer-sebezhetőségeket keres.
A fertőzés utáni első futásakor a féreg winsci32.exe fájlnéven jegyzi be magát a Windows system könyvtárba. Ezen túl, hogy a rendszer indításakor minden alkalommal fusson a W32/Sluter-E is, az alábbi bejegyzéseket írja a regisztrációs adatbázis megfelelő kulcsaihoz:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Winsci Loaded = %System%\winsci32.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Winsci Loaded = %System%\winsci32.exe
A féreg "Winsci32" nevű rendszerszolgáltatás (system service) néven bejegyzi magát úgy, hogy az imagepath ("végrehajtási út") a winsci32.exe - re mutat.
W32/Sluter-E csatlakozik egy IRC csatornához ahonnan a parancsokat egy távoli felhasználótól küldi. A hátsó ajtó összetevő utasításra a következő funkciók bármelyikére képes:
SOCKS4 proxy szerver
FTP szerver
E-mail küldés
Keylogger (billentyűleütés-figyelő funkció)
Képes DDoS támadások indítására (SYN, ICMP, Ping)
Ellopja a különböző termékek, alkalmazások regisztrációs kulcsait (ha van...)
Sértő szövegeket illeszt be az alábbi programok nyitott ablakaiba , és továbbítja azokat (AIM, Yahoo, MSN Messenger)
Összegyűjti a rendszerinformációkat (filesystem, hardware, futó folyamatok stb.)
Kinyitja és bezárja CDROM tálcákat
Utasításra letölt/feltölt állományokat
Alkalmazásokat futtat (parancsra)
A W32/Sluter-E "lekérdezi" a regisztrációs adatbázis bejegyzéseiből az alábbi meghatározott játékok kulcsait:
HKLM\Software\Westwood\Tiberian Sun
HKLM\Software\Westwood\Red Alert 2
HKLM\Software\IGI 2 Retail\CDKey
HKLM\Software\Electronic Arts\EA GAMES\Generals\ergc
HKLM\Software\Electronic Arts\EA Sports\FIFA 2003\ergc
HKLM\Software\Electronic Arts\EA GAMES\Need For Speed Hot Pursuit
HKCU\Software\Eugen Systems\The Gladiators
HKLM\Software\Activision\Soldier of Fortune II - Double Helix
HKLM\Software\BioWare\NWN\Neverwinter
HKLM\Software\Red Storm Entertainment\RAVENSHIELD
HKLM\Software\Electronic Arts\EA GAMES\Battlefield 1942 The Road to Rome
HKLM\Software\Electronic Arts\EA GAMES\Battlefield 1942
HKLM\Software\IGI 2 Retail
HKCU\Software\Valve\CounterStrike\Settings
HKLM\Software\Unreal Technology\Installed Apps\UT2003
HKCU\Software\Valve\Half-Life\Settings
A féreg ellen védekezni a rendszeren futó antivírus programok adatbázisainak frissítésével lehet. Van olyan AV program, aminek az adatbázisa már ismeri ezt a károkozót. Csökkentett módban, kézzel indítva az AV programot törölhetjük a féreg állományokat. A registry bejegyzéseket manuálisan távolítsuk el - miután a regisztrációs adatbázisunkról biztonsági mentést készítünk.
Vírusmentes napot!
Papp Géza dr.
Networksecurity and Virusanalyst
Kapcsolódó cikkek
- Vírust terjeszt a hamis Adobe letöltőoldal
- Az adathalászat növekedést, a botok előfordulása csökkenést mutat
- Totális háború: egymillió vírus készenlétben
- Májusi kémprogram toplista
- 10 antivírus-szoftver megbukott a júniusi VB 100 teszten
- Piacvezető itthon a NOD32
- "Virus Bulletin 100%" díjat kapott a VirusBuster Professional
- Még nem fertőzött a PC-je? Kattintson ide, és az lesz...
- Új vállalati kémprogram-eltávolító
- Megjelent az AVG Internet Security Home változata
Biztonság ROVAT TOVÁBBI HÍREI
Rébuszok helyett kézzelfogható megoldások a NIS2 fejtörőhöz
Nagy érdeklődés övezte a Gábor Dénes Egyetem NIS2 konferenciáját. Ennek egyik oka a téma aktualitása, hiszen a kiberbiztonság szavatolása kötelező törvényi előírás az érintett vállalatok részére. A másik ok, hogy kevés az egész folyamatot átfogó és bemutató esemény, amely nemcsak a NIS2 irányelvben meghatározott jogszabályi előírásokat mutatja be és értelmezi, hanem kézzelfogható, gyakorlati megoldásokat is kínál a vállalatok részére.
2024. november 22. 11:39