Doomjuice: 2. fokozatba lépett a vírusriasztás

Geza Papp, 2004. február 11. 05:53

A Doomjuice hálózati féreg, február 9-én éjjel identifikálták. Az eddigi elemzések szerint a féreg kihasználja a Mydoom.A - val fertőzött gépek hátsóajtóit, és így terjed. E-mail terhedést a szakértők nem várnak. A féreg programot úgy írták meg, hogy szinte azonnal DDoS támadást indít a www.microsoft.com ellen.

ALIAS: Mydoom.C, Worm.Win32.Doomjuice, W32.HLLW.Doomjuice, WORM_DOOMJUICE.A, W32/Doomjuice.worm

méret: 36,864

http://www.f-secure.com/weblog/ - itt jól látható

Hálózati terjedése, mint jeleztük levéllel nem várható, csak a nyitott TCP 3124 portokon keresztül. Ma adott ki egy hibajavítót a MS http://www.microsoft.com/technet/security/bulletin/MS04-007.asp A Doomjuise jellemzője még, hogy gyors kapcsolatokat keres nem javított fertőzött gépekkel, ahova bejutva azonnal DDoS -t indít. A másik érdekessége, hogy "talán védve íróit" a Mydoom forráskódját "szórja szét", és helyezi különböző mappákba. Fertőzéskor bemásolja magát a Windows System könyvtárba 'intrenat.exe' néven, és a regisztrációs adatbázisban változtat az alábbi kulcsokon:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Gremlin HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Gremlin

Distributed Denial-of-Service Attack

Február 8-án kezdi a támadásokat. Melyek 2 - 6 sec. Ideig tartanak az MS ellen.

W32/Deadhat-A

Aliases

Win32.Vesser.A, W32.HLLW.Deadhat, Vesser, W32/Vesser.worm.a

Szintén a Mydoom által fertőzött gépeket támadja, de a fájlokban tett kár várhatóan jelentősebb lesz, mint a DDoS.

Debuggolja az alábbiakat:

C:\boot.ini

C:\autoexec.bat

C:\config.sys

C:\Windows\win.ini

C:\Windows\system.ini

C:\Windows\wininit.ini

C:\Winnt\win.ini

C:\Winnt\system.ini

C:\Winnt\wininit.ini.

In order to run automatically when Windows starts up the worm copies

itself to the file sms.exe in the Windows system folder and adds the registry entry

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\KernelFaultChk

pointing to the worm binary.

When executed the worm may display a message box:

"Error executing program!"

The worm copies itself to the shared folder of an existing Soulseek installation using the following filenames:

WinXPKeyGen.exe

Windows2003Keygen.exe

mIRC.v6.12.Keygen.exe

Norton.All.Products.KeyMkr.exe

F-Secure.Antivirus.Keymkr.exe

FlashFXP.v2.1.FINAL.Crack.exe

SecureCRTPatch.exe

TweakXPProKeyGenerator.exe

FRUITYLOOPS.SPYWIRE.FIX.EXE

ALL.SERIALS.COLLECTION.2003-2004.EXE

WinRescue.XP.v1.08.14.exe

GoldenHawk.CDRWin.v3.9E.Incl.Keygen.exe

BlindWrite.Suite.v4.5.2.Serial.Generator.exe

Serv-U.allversions.keymaker.exe

WinZip.exe

WinRar.exe

WinAmp5.Crack.exe.

W32/Deadhat-A also attempts to terminate the following security and anti-virus related processes:

_avp

kfp4gui

kfp4ss

zonealarm

Azonealarm

avwupd32

avwin95

avsched32

avnt

avkserv

avgw

avgctrl

avgcc32

ave32

avconsol

apvxdwin

ackwin32

blackice

blackd

dv95

espwatch

esafe

efinet32

ecengine

f-stopw

fp-win

f-prot95

f-prot

fprot

f-agnt95

gibe

iomon98

iface

icsupp

icssuppnt

icmoon

icmon

icloadnt

icload95

ibmavsp

ibmasn

iamserv

iamapp

kpfw32

nvc95

nupgrade

nupdate

normist

nmain

nisum

navw

navsched

navnt

navlu32

navapw32

zapro.

W32/Deadhat-A listens on TCP port 2766. The port may be used to receive

and run file in the temporary folder.

W32/Deadhat-A also has an IRC backdoor component. The worm attempts to connect to one of a list of IRC servers and receives commands that allow a remote attacker control over the infected computer.

W32/Deadhat-A scans network address ranges for ports opened by the W32/MyDoom-A. The worm generates IP addresses of the format a.b.c.d where d is taken from an internal list, c is a random number and the values for a and b are enumerated consecutively starting from 0. If an open port is found, W32/Deadhat-A attempts to copy itself to the remote machine.