Új MyDoomok terjednek
Geza Papp, 2005. február 10. 16:45
A "végzet" tegnap ismét megmutatta, hogy nem hagyja magát, illetve azt is, hogy a megjelenése után írott "MyDoom saga" c. családregénynek még korán sincs vége. Két új variánst észleltek és analizáltak a Sophos kutatói.
A W32/MyDoom-AR (W32/Mydoom.ba@MM) féregvariánst, és közvetlenül utána a W32/MyDoom-AQ férget. Sok mindenben egyeznek fő tulajdonságaikat, képességeiket tekintve, de némi különbség van közöttük.
Mind a W32/MyDoom-AR, mind a W32/MyDoom-AQ alapjában mass-mailing (levéltömeg küldő)féreg, mely Windows rendszereket fertőz leveleinek mellékleteként, és ezzel párhuzamosan a P2O (peer- to peer) állománycserélő alkalmazásokon is terjednek. Közös jellemzőjük még, hogy saját levélküldő alkalmazással küldik a fertőzött gépről talált címekre a leveleket, melyek mellékletében ott lapulnak, a feladó címét hamisítják, és bejegyzéseket tesznek a regisztrációs adatbázisba.
Az először észlelt W32/MyDoom-AR (W32/Mydoom.ba@MM) féreg variáns "kissé" többre képes" ezért talán kezdjük azzal:
A fent leírtak mellett a W32/MyDoom-AR hatástalanítja az antivírus védelmi alkalmazásokat, megváltoztat különféle adatokat a fertőzött gépen. Fuatásaok megjelenik az utóbbi variánsoknál már megszokottá vált "blőd szöveget" tartalmazó notepad ablak, de e mellett az első futás alkalmával bemásolja magát a Windows system mappába lsasrv.exe néven, és állandó rendszerrel együtt történő futása érdekében az alábbi módosítást hajtja végre a regisztrációs adatbázisban:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
lsass
%SYSTEM%lsasrv.exe
A Windows2000 és Windows XP rendszerek esetében az "Explorer shell association" módosítása is megtörténik, szintén egy registry bejegyzés megváltoztatással:
HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon
Shell
explorer
amire változtatja:
HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon
Shell
explorer %SYSTEM%lsasrv.exe
A W32/MyDoom-AR még egy nem ártalmas állományt helyez a Win%system% mappába hserv.sys néven, mely minden következmény nélkül törölhető.
A W32/MyDoom-AR a közkedvelt peer-to-peer alkalmazásokon pl: KaZaa, Morpheus, iMesh, eDonkey2000 és LimeWire úgy terjed, hogy a mappájukba az alábbi neveken másolja be magát, természetesen futtatható állományként, mely kiterjesztése lehet: PIF, SCR, EXE OR BAT:
NeroBROM6.3.1.27
avpprokey
Ad-awareref01R349
winxp_patch
adultpasswds
dcom_patches
K-LiteCodecPack2.34a
activation_crack
icq2004-final
winamp5
A féreg megkeresi a registryben azokat a bejegyzéseket, melyeket esetleg más károkozók hagytak ott, és ezután az anti-vírus alkalmazások frissítését megakadályozza a hozzájuk rendelt weboldalak hostjai megmásításával A valódi host helyett localhostra állítja át, így ezen alkalmazások nem tudnak a frissítő weboldalhoz kapcsolódni, pl.
127.0.0.1 grisoft.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.trendmicro.com
127.0.0.1 rads.mcafee.com
127.0.0.1 customer.symantec.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 updates.symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 www.nai.com
127.0.0.1 secure.nai.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 mast.mcafee.com
127.0.0.1 ca.com
127.0.0.1 www.ca.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 kaspersky.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 viruslist.com
127.0.0.1 www.viruslist.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mcafee.com
127.0.0.1 www.mcafee.com
127.0.0.1 sophos.com
127.0.0.1 www.sophos.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 www.symantec.com
A W32/MyDoom-AR a fertőzött gép alábbi kiterjesztésű állományaiban keres címeket:
WAB PL ADB TBB DBX ASP EDM VBS WML JS TPL CONF VB CSP ASM ASC ASA
DWT LBI RDF RSS XST XSD DLT XML JSP INC SSI STM XHT HTC HTA CGI
PHP SHT HTM TXT
Ezekre a címekre küldi generált leveleit, melyekre a következőek a jellemzőek (általában):
Tárgy sor lehet:
Good day
Do not reply to this email
hello
Mail Delivery System
Attention!!!
Mail Transaction Failed
Server Report
Status
Error
Szöveg valamelyik az alábbiak közül:
"Mail transaction failed. Partial message is available."
"The message contains Unicode characters and has been sent as
a binary attachment."
"The message cannot be represented in 7-bit ASCII encoding and
has been sent as a binary attachment."
"Do not visit these sites!!!"
"You have visited illegal websites.
I have a big list of the websites you surfed."
"You think it's funny? You are stupid idiot!!! I'll send
the attachment to your ISP and then I'll be watching
how you will go to jail, punk!!!"
"Your credit card was charged for $500 USD. For additional in
formation see the attachment"
"ESMTP [Secure Mail System #334]: Secure message is attached."
"Encrypted message is available."
"Delivered message is attached."
"Can you confirm it?"
"Binary message is available."
"am shocked about your document!"
"Are you a spammer? (I found your email on a spammer website!?!"
"Bad Gateway: The message has been attached."
"Attention! New self-spreading virus!
Be careful, a new self-spreading virus called 'RTSW.Smash'
spreading very fast via e-mail and P2P networks. It's about
two million people infected and it will be more.
To avoid your infection by this virus and to stop it we
provide you with full information how to protect yourself
against it and also including free remover. Your can find it
in the attachment.
2004 Networks Associates Technology, Inc. All Rights Reserved"
"New terms and conditions for credit card holders
Here a new terms and conditions for credit card holders using a
credit cards for making purchase in the Internet in the attachment.
Please, read it carefully. If you are not agree with new terms
and conditions do not use your credit card in the World Wide Web.
Thank you,
The World Bank Group
2004 The World Bank Group, All Rights Reserved"
"Thank you for registering at WORLDXXXPASS.COM
All your payment info, login and password you can find in the
attachment file. It's a real good choise to go to
WORLDXXXPASS.COM"
"Attention! Your IP was logged by The Internet Fraud Complaint Center
Your IP was logged by The Internet Fraud Complaint Center. There was
a fraud attempt logged by The Internet Fraud Complaint Center from
your IP. This is a serious crime, so all records was sent to the FBI.
All information you can find in the attachment. Your IP was flagged
and if there will be anover attemption you will be busted.
This message is brought to you by the Federal Bureau of Investigation
and the National White Collar Crime Center"
"Here is your documents you are requested."
A fertőző melléklet neveinek választéka lentebb látható, míg kiterjesztésűk általában pif, scr, exe, cmd, bat, zip:
document
readme
doc
rules
file
data
docs
message
body
A W32/MyDoom-AQ, mint az elején írtam szintén tegnap észlelt féreg. Főbb jellemzőit is részleteztem. A fentieken túl érdemes tudni:
A W32/MyDoom-AQ szintén a Windows system mappába másolja magát lsasrv.exe anéven, és az állandó futását az alábbi registry bejegyzés biztosítja:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
lsass =lsasrv.exe
HKLMSoftwareMicrosoftWindows NTCurrentVersionWinLogon
Shell = explorer.exelsasrv.exe
A W32/MyDoom-AQ is összegyűjt a fertőzött gépről minden címet, melyekre az alábbi, a féregre jellemzőnek mondható leveleket küldi el - mellékletében másolatával:
Tárgy lehet:
Attention!!!
Do not reply to this email
Error
Good Day
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
A fertőző melléklet nevei - az következő kiterjesztésekkel exe, scr, pif, cmd, bat or zip:
body
data
doc
document
files
message
readme
readme
rules
A W32/MyDoom-AQ bemásolja magát az alábbi, ismert állománymegosztó (peer-to-peer alkalmazások megosztott mappáiba:
Edonkey2000
KaZaa
LimeWire
Morpheus
Az alábbi weblapok Host állományát módosítja:
avp.com
ca.com
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
f-secure.com
grisoft.com
kaspersky.com
kaspersky-labs.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mcafee.com
my-etrust.com
nai.com
networkassociates.com
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
sophos.com
symantec.com
trendmicro.com
update.symantec.com
updates.symantec.com
us.mcafee.com
viruslist.com
www.avp.com
www.ca.com
www.f-secure.com
www.grisoft.com
www.kaspersky.com
www.mcafee.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.com
A W32/MyDoom-AQ szintén megnyit egy notepad alkalmazást a kijelzőn "gagyi szöveggel", mintegy figyelem elterelésként háttér "munkáihoz".
E mellett a W32/MyDoom-AR féreghez hasonlóan még nem ártalmas állományokat helyez a Win%system% mappába hserv.sys és version.ini néven, melyek minden következmény nélkül törölhetők.
Első ránézésre sok különbség nincs a két variáns között, de alaposabb vizsgálattal megtalálhatjuk azokat.
"Egy szónak is száz a vége" - szokták volt mondani - sajnos a "MyDoom saga" végére még nem írható ki a "The end" és a "stáblista". Kérem, frissítsék védelmüket, figyeljenek a rendszerük minden apró furcsaságára is (notepad) - és vírusmentes napot!
Mind a W32/MyDoom-AR, mind a W32/MyDoom-AQ alapjában mass-mailing (levéltömeg küldő)féreg, mely Windows rendszereket fertőz leveleinek mellékleteként, és ezzel párhuzamosan a P2O (peer- to peer) állománycserélő alkalmazásokon is terjednek. Közös jellemzőjük még, hogy saját levélküldő alkalmazással küldik a fertőzött gépről talált címekre a leveleket, melyek mellékletében ott lapulnak, a feladó címét hamisítják, és bejegyzéseket tesznek a regisztrációs adatbázisba.
Az először észlelt W32/MyDoom-AR (W32/Mydoom.ba@MM) féreg variáns "kissé" többre képes" ezért talán kezdjük azzal:
A fent leírtak mellett a W32/MyDoom-AR hatástalanítja az antivírus védelmi alkalmazásokat, megváltoztat különféle adatokat a fertőzött gépen. Fuatásaok megjelenik az utóbbi variánsoknál már megszokottá vált "blőd szöveget" tartalmazó notepad ablak, de e mellett az első futás alkalmával bemásolja magát a Windows system mappába lsasrv.exe néven, és állandó rendszerrel együtt történő futása érdekében az alábbi módosítást hajtja végre a regisztrációs adatbázisban:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
lsass
%SYSTEM%lsasrv.exe
A Windows2000 és Windows XP rendszerek esetében az "Explorer shell association" módosítása is megtörténik, szintén egy registry bejegyzés megváltoztatással:
HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon
Shell
explorer
amire változtatja:
HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon
Shell
explorer %SYSTEM%lsasrv.exe
A W32/MyDoom-AR még egy nem ártalmas állományt helyez a Win%system% mappába hserv.sys néven, mely minden következmény nélkül törölhető.
A W32/MyDoom-AR a közkedvelt peer-to-peer alkalmazásokon pl: KaZaa, Morpheus, iMesh, eDonkey2000 és LimeWire úgy terjed, hogy a mappájukba az alábbi neveken másolja be magát, természetesen futtatható állományként, mely kiterjesztése lehet: PIF, SCR, EXE OR BAT:
NeroBROM6.3.1.27
avpprokey
Ad-awareref01R349
winxp_patch
adultpasswds
dcom_patches
K-LiteCodecPack2.34a
activation_crack
icq2004-final
winamp5
A féreg megkeresi a registryben azokat a bejegyzéseket, melyeket esetleg más károkozók hagytak ott, és ezután az anti-vírus alkalmazások frissítését megakadályozza a hozzájuk rendelt weboldalak hostjai megmásításával A valódi host helyett localhostra állítja át, így ezen alkalmazások nem tudnak a frissítő weboldalhoz kapcsolódni, pl.
127.0.0.1 grisoft.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.trendmicro.com
127.0.0.1 rads.mcafee.com
127.0.0.1 customer.symantec.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 updates.symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 www.nai.com
127.0.0.1 secure.nai.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 mast.mcafee.com
127.0.0.1 ca.com
127.0.0.1 www.ca.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 kaspersky.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 viruslist.com
127.0.0.1 www.viruslist.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mcafee.com
127.0.0.1 www.mcafee.com
127.0.0.1 sophos.com
127.0.0.1 www.sophos.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 www.symantec.com
A W32/MyDoom-AR a fertőzött gép alábbi kiterjesztésű állományaiban keres címeket:
WAB PL ADB TBB DBX ASP EDM VBS WML JS TPL CONF VB CSP ASM ASC ASA
DWT LBI RDF RSS XST XSD DLT XML JSP INC SSI STM XHT HTC HTA CGI
PHP SHT HTM TXT
Ezekre a címekre küldi generált leveleit, melyekre a következőek a jellemzőek (általában):
Tárgy sor lehet:
Good day
Do not reply to this email
hello
Mail Delivery System
Attention!!!
Mail Transaction Failed
Server Report
Status
Error
Szöveg valamelyik az alábbiak közül:
"Mail transaction failed. Partial message is available."
"The message contains Unicode characters and has been sent as
a binary attachment."
"The message cannot be represented in 7-bit ASCII encoding and
has been sent as a binary attachment."
"Do not visit these sites!!!"
"You have visited illegal websites.
I have a big list of the websites you surfed."
"You think it's funny? You are stupid idiot!!! I'll send
the attachment to your ISP and then I'll be watching
how you will go to jail, punk!!!"
"Your credit card was charged for $500 USD. For additional in
formation see the attachment"
"ESMTP [Secure Mail System #334]: Secure message is attached."
"Encrypted message is available."
"Delivered message is attached."
"Can you confirm it?"
"Binary message is available."
"am shocked about your document!"
"Are you a spammer? (I found your email on a spammer website!?!"
"Bad Gateway: The message has been attached."
"Attention! New self-spreading virus!
Be careful, a new self-spreading virus called 'RTSW.Smash'
spreading very fast via e-mail and P2P networks. It's about
two million people infected and it will be more.
To avoid your infection by this virus and to stop it we
provide you with full information how to protect yourself
against it and also including free remover. Your can find it
in the attachment.
2004 Networks Associates Technology, Inc. All Rights Reserved"
"New terms and conditions for credit card holders
Here a new terms and conditions for credit card holders using a
credit cards for making purchase in the Internet in the attachment.
Please, read it carefully. If you are not agree with new terms
and conditions do not use your credit card in the World Wide Web.
Thank you,
The World Bank Group
2004 The World Bank Group, All Rights Reserved"
"Thank you for registering at WORLDXXXPASS.COM
All your payment info, login and password you can find in the
attachment file. It's a real good choise to go to
WORLDXXXPASS.COM"
"Attention! Your IP was logged by The Internet Fraud Complaint Center
Your IP was logged by The Internet Fraud Complaint Center. There was
a fraud attempt logged by The Internet Fraud Complaint Center from
your IP. This is a serious crime, so all records was sent to the FBI.
All information you can find in the attachment. Your IP was flagged
and if there will be anover attemption you will be busted.
This message is brought to you by the Federal Bureau of Investigation
and the National White Collar Crime Center"
"Here is your documents you are requested."
A fertőző melléklet neveinek választéka lentebb látható, míg kiterjesztésűk általában pif, scr, exe, cmd, bat, zip:
document
readme
doc
rules
file
data
docs
message
body
A W32/MyDoom-AQ, mint az elején írtam szintén tegnap észlelt féreg. Főbb jellemzőit is részleteztem. A fentieken túl érdemes tudni:
A W32/MyDoom-AQ szintén a Windows system mappába másolja magát lsasrv.exe anéven, és az állandó futását az alábbi registry bejegyzés biztosítja:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
lsass =
HKLMSoftwareMicrosoftWindows NTCurrentVersionWinLogon
Shell = explorer.exe
A W32/MyDoom-AQ is összegyűjt a fertőzött gépről minden címet, melyekre az alábbi, a féregre jellemzőnek mondható leveleket küldi el - mellékletében másolatával:
Tárgy lehet:
Attention!!!
Do not reply to this email
Error
Good Day
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
A fertőző melléklet nevei - az következő kiterjesztésekkel exe, scr, pif, cmd, bat or zip:
body
data
doc
document
files
message
readme
readme
rules
A W32/MyDoom-AQ bemásolja magát az alábbi, ismert állománymegosztó (peer-to-peer alkalmazások megosztott mappáiba:
Edonkey2000
KaZaa
LimeWire
Morpheus
Az alábbi weblapok Host állományát módosítja:
avp.com
ca.com
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
f-secure.com
grisoft.com
kaspersky.com
kaspersky-labs.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mcafee.com
my-etrust.com
nai.com
networkassociates.com
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
sophos.com
symantec.com
trendmicro.com
update.symantec.com
updates.symantec.com
us.mcafee.com
viruslist.com
www.avp.com
www.ca.com
www.f-secure.com
www.grisoft.com
www.kaspersky.com
www.mcafee.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.com
A W32/MyDoom-AQ szintén megnyit egy notepad alkalmazást a kijelzőn "gagyi szöveggel", mintegy figyelem elterelésként háttér "munkáihoz".
E mellett a W32/MyDoom-AR féreghez hasonlóan még nem ártalmas állományokat helyez a Win%system% mappába hserv.sys és version.ini néven, melyek minden következmény nélkül törölhetők.
Első ránézésre sok különbség nincs a két variáns között, de alaposabb vizsgálattal megtalálhatjuk azokat.
"Egy szónak is száz a vége" - szokták volt mondani - sajnos a "MyDoom saga" végére még nem írható ki a "The end" és a "stáblista". Kérem, frissítsék védelmüket, figyeljenek a rendszerük minden apró furcsaságára is (notepad) - és vírusmentes napot!
Kulcsszavak: vírus
Kapcsolódó cikkek
- Az AIDS veszélyeire hívja fel a figyelmet egy új vírus
- Vírust terjeszt a hamis Adobe letöltőoldal
- Az adathalászat növekedést, a botok előfordulása csökkenést mutat
- Totális háború: egymillió vírus készenlétben
- Májusi kémprogram toplista
- Terjed a YouTube-os vírus
- 10 antivírus-szoftver megbukott a júniusi VB 100 teszten
- Piacvezető itthon a NOD32
- "Virus Bulletin 100%" díjat kapott a VirusBuster Professional
- Open- és StarOffice makróvírus minden platformra
Cikkgyűjtő
További fontos híreink
Ingyenes digitális platform segít a tanároknak és diákoknak az érettségire való felkészülésben
2024. április 20. 11:36