Veszélyes jelszókitaláló féreg jelent meg: Deloder

Vírushíradó Vírushíradó, 2003. március 10. 15:32
A Deloder egy olyan Windowsos hálózati gépeket fertőző féreg, amelyiknél jelszó nélküli vagy könnyen kitalálható a választott adminisztrátori jelszó. Ezenkívül kéretlenül telepíti a VNC nevű távmenedzsment alkalmazást is, megnyitva így a gépet a külvilág számára - tájékoztatta lapunkat a Vírushíradó.
A féreg véletlenszerű IP címeket vizsgál, így próbál nyitott 445-ös porttal rendelkező Windowsos gépeket találni. A 445-ös port (Microsoft SMB megosztás TCP/IP segítségével) engedélyezi a kívülállóknak, hogy Windows megosztásokat érhessenek el.

A legtöbb vállalati számítógépen központilag vagy helyben telepített tűzfallal védekeznek, amely képes lezárni ezt a portot. Ám a legtöbb felhasználó láthatónak hagyja ezt a portot és ezzel sebezhetővé válik, ha a helyi adminisztrátori jelszó nem megfelelően erős. Ha a féreg alkalmas gépet talál, megpróbál helyi adminisztrátorként belépni, ehhez könnyen kitalálható, de sajnálatosan elég gyakori jelszóvariációkat használ.

Ha a bejelentkezés sikeres, a féreg különböző indító mappákba másolja be magát (rendszerint INST.EXE néven) és létrehoz egy olyan registry kulcsot is, amellyel a "DVLDR32.EXE" állományt (ez szintén a féreg másolata) minden rendszerindításkor lefuttatja. A gép újraindítása után a féreg további megfertőzhető gépek után kutatni. A féreg elsődleges bináris futtatható állománya egy ASPack módszerrel tömörített programkód, amely végrehajtáskor kibocsát magából két további összetevőt: a "psexec.exe" és a "inst.exe" fájlt. Az INST.EXE ezenkívül további fájlokat hoz létre a rendszerben.

A VNC szervert az alábbi elemek alkotják:

cygwin1.dll

explorer.exe

omnithread_rt.dll

VNCHooks.dll

A gépen keletkezik egy UPX segítségével összetömörített PSEXEC.EXE segédprogram (a sysinternal cégtől) és egy szintén UPX által tömörített RUNDLL32.EXE IRC trójai, amely egy 13 elemű listából véletlenszerűen kiválasztott szerverhez kapcsolódik. A fertőzés mellékhatásaként az is előfordulhat, hogy a korábban megosztott könyvtárakat nem tudjuk többé megosztani.

Kulcsszavak: +legfontosabb vírus

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Huszadik alkalommal adták át a Hégető Honorka-díjakat

2024. november 21. 16:58

Hosszabbít ’Az Év Honlapja’ pályázat!

2024. november 19. 09:54

Törj be a digitális élvonalba: Nevezz ’Az Év Honlapja’ pályázatra!

2024. november 14. 16:36

A virtuális valóság az egészségügyet is forradalmasíthatja

2024. november 12. 18:01