Ezen a hétvégén két féreg észleléséről írt a Sophos.
Az egyiket tegnap, január 15-én azonosították. Ez a
W32/MyDoom-AA, más néven
W32/Mydoom.gen@MM hálózati féreg, ami az interneten levélmellékletként, ill. népszerű P2P fájlcserélő hálózatokon terjed, megfertőzve Windows alapú rendszereket. A terjedését tekintve elsősorban mass mailing (spammer) féregnek tekinthető, ami elküldi magát levélmellékletként azokra a címekre, amiket a számítógépen talál, saját SMTP motort használ, bejegyzéseket tez a registrybe, és érdekessége, hogy a károkozó kiirtása után is hagy nem fetőző állományokat a gépen.
Fertőzésekor a W32/MyDoom-AA bemásolja magát a Windows System könyvtárba lsasrv.exe állomány néven, illetve azért, hogy biztos legyen a víruskód futása minden alkalommal, amikor a rendszrt bekapcsolják a regisztrációs adatbázis kulcsaihoz az alábbi bejegyzéseket teszi:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
lsass = <system>lsasrv.exe
HKLMSoftwareMicrosoftWindows NTCurrentVersionWinLogon
Shell = explorer.exe <system>lsasrv.exe
A W32/MyDoom-AA által a fertőzött gépekről, az ott talált címekre küldött levelek jellemzői a következők:
Tárgysor:
Do not reply to this email
hello
Mail Delivery System
Good Day
Server Report
Error
Attention!!!
Status
Mail Transaction Failed
Melléklet neve (kiterjesztése lehet: exe, scr, pif, cmd, bat vagy
zip):
message
body
readme
rules
files
document
doc
data
readme
W32/MyDoom-AA megpróbálja bemásolni magát az alábbi népszerű állománycserélő programok megosztott mappáiba:
KaZaa
Morpheus
Edonkey2000
LimeWire
A "hosts file" módosításával lehetetlenné teszi az alábbi weblapok elérését:
www.symantec.com
securityresponse.symantec.com
symantec.com
www.sophos.com
sophos.com
www.mcafee.com
mcafee.com
liveupdate.symantecliveupdate.com
www.viruslist.com
viruslist.com
www.f-secure.com
f-secure.com
kaspersky.com
kaspersky-labs.com
www.avp.com
avp.com
www.kaspersky.com
www.networkassociates.com
networkassociates.com
www.ca.com
ca.com
mast.mcafee.com
www.my-etrust.com
my-etrust.com
download.mcafee.com
dispatch.mcafee.com
secure.nai.com
www.nai.com
nai.com
update.symantec.com
updates.symantec.com
us.mcafee.com
liveupdate.symantec.com
customer.symantec.com
rads.mcafee.com
www.trendmicro.com
trendmicro.com
www.grisoft.com
grisoft.com
W32/MyDoom-AA képes megnyitni a notepad alkalmazást, ez látszik a képernyőn is egy ideig, majd bekerül a "szemetesbe".
Nem fertőző, nem rosszindulatú állományokat tesz hserv.sys és version.ini néven a Windows System mappába.
A másik a január 16-án észlelt
W32/Rbot-TQ (Backdoor.Win32.Rbot.gen, W32/Sdbot.worm.gen.w, WORM_RBOT.AFK) hálózati féreg.
A "kiváló kémtulajdonságokkal felruházott" féreg elsősorban megosztott hálózatokon terjed, jellemző rá, hogy hátsóajtó funkciója révén engedi, hogy távoli támadók hatolhassanak a rendszerbe. Ezen túl információkat lop elsősorban a log állományokból - különös tekintettel a gépen lévő alkalmazások elsősorban játékok CD kulcsaira, futtatható állományokat tölt fel a gépre (melyek báármilyen funkcióra képesek lehetnek); Csökkenti a rendszer biztonságát, bejegyzi magát a registrybe ill. kihasználja a rendszerhibákat.
A hátsóajtó trójai tulajdonságát kihasználva kapcsolatot teremt meghatározott IRC csatornákkal, mely kapcsolat háttérfolyamatként fut a gépen. A fertőzöttgépről a felttöltött futtatható alkalmazások segítségével képes más zámítógépeket "floodolni" (hálózati csomagokkal elárasztani)
A W32/Rbot-TQ fertőzéskor bemásolja magát a Windows System mappába msexcel.exe néven, és állandó futását azzal biztosítja, hogy az alábbi bejegyzéseket írja a registry kulcsaihoz:
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Microsoft Excel = msexcel.exe
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Microsoft Excel = msexcel.exe
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
Microsoft Excel = msexcel.exe
W32/Rbot-TQ a fentieken túl még az alábbi bejegyzéseket teszi:
HKLMSoftwareMicrosoftOleEnableDCOM = N
HKLMSystemCurrentControlSetControlLsarestrictanonymous = 1
A W32/Rbot-TQ a megosztott hálózatokon a terjedéshez kihasználja a "könnyű jelszavakat" - és a rendszer ki nem javított hibáit, a: RPC DCOM (MS04-012), WebDav (MS03-007) and LSASS (MS04-011) hibákat.
Védekezni megfelelő módon frissülő adatbázisú antvírus programokkal, és "egy kis odafigyeléssel" lehet.
Vírusmentes napot!Papp Géza dr
Networksecurity and Virusanalyst