Veszélyes jelszókitaláló féreg jelent meg: Deloder
A legtöbb vállalati számítógépen központilag vagy helyben telepített tűzfallal védekeznek, amely képes lezárni ezt a portot. Ám a legtöbb felhasználó láthatónak hagyja ezt a portot és ezzel sebezhetővé válik, ha a helyi adminisztrátori jelszó nem megfelelően erős. Ha a féreg alkalmas gépet talál, megpróbál helyi adminisztrátorként belépni, ehhez könnyen kitalálható, de sajnálatosan elég gyakori jelszóvariációkat használ.
Ha a bejelentkezés sikeres, a féreg különböző indító mappákba másolja be magát (rendszerint INST.EXE néven) és létrehoz egy olyan registry kulcsot is, amellyel a "DVLDR32.EXE" állományt (ez szintén a féreg másolata) minden rendszerindításkor lefuttatja. A gép újraindítása után a féreg további megfertőzhető gépek után kutatni. A féreg elsődleges bináris futtatható állománya egy ASPack módszerrel tömörített programkód, amely végrehajtáskor kibocsát magából két további összetevőt: a "psexec.exe" és a "inst.exe" fájlt. Az INST.EXE ezenkívül további fájlokat hoz létre a rendszerben.
A VNC szervert az alábbi elemek alkotják:
cygwin1.dll
explorer.exe
omnithread_rt.dll
VNCHooks.dll
A gépen keletkezik egy UPX segítségével összetömörített PSEXEC.EXE segédprogram (a sysinternal cégtől) és egy szintén UPX által tömörített RUNDLL32.EXE IRC trójai, amely egy 13 elemű listából véletlenszerűen kiválasztott szerverhez kapcsolódik. A fertőzés mellékhatásaként az is előfordulhat, hogy a korábban megosztott könyvtárakat nem tudjuk többé megosztani.
Kapcsolódó cikkek
- A Microsoft szembeszáll a spam-ekkel, vírusokkal
- Egyre több biztonsági probléma és féregtámadás
- Magyar nyelvű a Panda Antivirus Titanium
- Egyre gyakoribbak a kombinált spam- és vírusszűrők
- Letartóztatták a Ganda féreg készítőjét
- Vírushíradó
- Új e-mailben terjedő féreg jelent meg: I-Worm.Ganda
- W32/Nicehello@MM: Új, tömeges levelezéssel terjedő vírus
- Ismét a Klez volt a legelterjedtebb vírus
- A férgek végzete lehet az új VirusScan