Játék CD-k kulcsait gyűjti az új féreg

forrás Prim Online, 2003. szeptember 27. 10:38

Ismét gyarapodott azon kórokozók száma, melyek a rendszereinket veszélyeztetik. A 15-én észlelt W32/Randex-G tipikus hálózati PE .exe féreg, mely elsősorban az IRC kommunikációs csatornán terjed.
Maga a féreg egyszerű – tömörítetlen „gyengén kódolt" állomány –, ennek ellenére a gépre kerülve a „gazda" irányításával számtalan károd funkciót képes végrehajtani. A neve karimát jelent. Ez még nem szokatlan, hanem van egy „gyerekes", érthetetlen funkciója: a játék CD-k kulcsait gyűjti és továbbítja.

Név: W32/Randex-G [Sophos]

Más nevek: W32/Randex.worm.c [McAfee], Backdoor.SdBot.gen [KAV]

W32.Randex.A, W32.Randex.B, W32.Randex.C, W32.Randex.D, W32.Randex.E, W32.Randex.F Worm.Randex.g, W95/Randex.J, W32/Sdbot.worm.gen.b, Win32/Randex.G, W32.Randex.C, WORM_RANDEX.F

Típus: Win32 PE exe féreg.

Mérete: 73728 byte – a féregfile nem tömörített, mindössze egy egyszerű cryptalgoritmussal titkosították.

Észlelés: 2003. 09. 26. (ez megelőzően már detektálták néhány variánsát)

Leírás:

W32/Randex-G hálózati féreg, mely hátsóajtó" kialakítási képességekkel bír. Igy az IRC csatornákon keresztül a féreg küldője távolról képes vezérelni, általában olyan „sikerrel", hogy a gép irányítását is át tudja venni.

W32/Randex-G a hálózaton terjedve első futásakor bemásolja magát a Windows system32 gyenge, könnyen megfejthető jelszavakkal védett C$ és Admin$ alkönyvtáraiba ntd32.exe néven.

\ADMIN$\system32\netd32.exe

\C$\WINNT\system32\netd32.exe

Amikor a féreg program fut, megpróbálja a fertőzött rendszert egy jellegzetes, speciális IRC csatornára csatlakoztatni. A féregre jellemző, hogy a háttérben fut, mint egy szerverprogram, várva a „gazda" utasításait – általában azt, hogy melyik programot indítsa el.

Első alkalommal, amikor a fertőzés után a kódja fut, a következő bejegyzéseket teszi a rendszerleíró adatbázis kulcsaihoz, azzal a céllal, hogy biztosítsa azt, hogy minden Windows indításkor a féregprogram is fusson:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

Microsoft Network Daemon for Win32 = ntd32.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

Microsoft Network Daemon for Win32 = ntd32.exe

A féregíró irányításával számtalan művelet végrehajtására képes, pl.:

Naplózza az IRC-n létrehozott bot adatait;

Képes összekötni, vagy szétkapcsolni IRC szervereket;

„Ellopja" az összeköttetés, ill. maga a rendszer fontos információit;

A „tulajdonos" által meghatározott fájlokat futtatja;

Képes SYN flood létrehozására;

Klónokat képes létrehozni;

Segítségével könnyen indítható DOS támadás;

Bevallom, számomra teljesen érthetetlen okból a

W32/Randex-G begyűjti, és elküldi a következő játékok CD kulcsait:

Battlefield 1942

Battlefield 1942 The Road to Rome

Half-Life

Unreal Tournament 2003

Papp Géza