Meddig foltozható egy rendszer?
forrás Prim Online, 2003. szeptember 17. 22:38
A vírusírók az esetek nagy részében akkor „alkotnak" igazán „komoly dolgot", ha ismertté válik egy rendszerhiba, egy sérülékenység, biztonsági rés. A kórokozók ezt használják ki különböző formában. A rendszerírók előtte vagy ekkor „megírják javításaikat, amikkel a réseket be lehet foltozni" - de meddig?
Nagyapáink - bár nem egy edény volt a konyhában - rákényszerültek, hogy a hibásakat megjavíttassák, megfoltoztassák. Ez ment egy ideig, de eljött az a pont, amikor az edényből a víz a folt mellett is folyt. Megfoltoztathatták volna ismét - de jött egy ésszerű számvetés: minél rosszabb lesz, annál többet kell költeni a foltozásra, ami előreláthatóan nem javítja ki a hibát. Sok folt kellene ahhoz, hogy az edény ne eresszen, és ez sokba kerül. Többe, mint egy új edény. A gondolkodás logikus, a használhatatlan edényt a többi közül kidobták, és vettek egy újat, ami sok évig garantáltan nem lyukadt ki. Valahogy ezt kellene szem előtt tartani a hibás, foltozott rendszer elemek esetében is, nem kockáztatni az egész rendszer biztonságát.
Miért írtam mindezt: néhány sor olvasása után kiderül, de a kérdéses sorok előtti ismertetők is tartalmaznak újdonságokat napjaink vírusairól, olyanokat, amiket ismerve egyszerűbben védhetjük meg rendszerünket, konfigurálhatjuk tűzfalunkat a vírusadatbázis-frissítés mellett.
***
WM97/Simuleek-C
Más név: Macro.Word97.Omni, W97M.Radnet, W97M_BUHAY, W97M/Simuleek
Fajta: Word 97 makróvírus
Leírás:
WM97/Simuleek-C makróvírus, mely egy VBS scriptet is "letesz" fertőzésekor, melyet a víruskeresők VBS/Simuleek-C-t észlelnek.
VBS/Simuleek-C a WIN.INI-be jegyez be egy parancssort, ami biztosítja, hogy minden Windows-indításkor a vírusprogram is aktiválódik, "futni kezd". Igen kellemetlen tulajdonsága, hogy a Word környezetet többször is meg tudja fertőzni, tehát ismételt vírusfertőzést újrafertőzés követ.
Eléggé nehezen "kódolható egyszerű agyunkkal", de a Simuleek-C megkísérli a talált szövegekben - ha előfordul - a "Ranuya" szót helyettesíteni "John"-nal.
***
W32/Sluter-B
Más név: W32.Randex.F
Fajta: Win32 féreg
A Sophos számtalan jelzést kapott a "vadonból" a féreg aktivitásáról.
Leírás:
W32/Sluter-B elsősorban gyenge, könnyen dekódolható jelszavakkal védett megosztott hálózatokon terjed. Fertőzéskor a féreg bemásolja magát netd32.exe néven a Windows mappába. A regisztrációs adatbázisba - hogy futása állandóan biztosított legyen - az alábbi bejegyzéseket írja a megfelelő kulcsokhoz:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Microsoft Network Daemon Win32 = netd32.exe
és
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Microsoft Network Daemon Win32 = netd32.exe
Ezenkívül a W32/Sluter-B képes arra, hogy pontosan úgy viselkedjen, mint egy IRC hátsóajtó-féreg, és a megnyitott résen, porton korlátlan lehetősége van minden távoli betolakodónak a fertőzött rendszerbe hatolni.
***
W32/Slanper-A
Más név: W32/Slanper.féreg, Win32/HLLW.Rejase.A
Fajta: Win32 féreg
A Sophos Anti-Vírus számtalan jelzést kapott a "vadonból" a féreg aktivitásáról.
Megjegyezés: A Sophos 2003. jún. 27. (GMT 16:51) óta észleli a vírust, de miután az analízis változásokat mutatott, szükséges ismét felhívni rá a figyelmet, és a változás alapján módosítani az adatbázist.
Leírás:
W32/Slanper-A internetféreg, aminek a célja az SMB/Windows megosztott portot birtokba venni, használni. Mindent Windows host esetében ez az SMB-vel megosztott portként működik. Itt kell megjegyezni, hogy SMB részletek vagy ahhoz hasonlóak találhatók a Unix, ill. más operációs rendszereken is. A féreg rendszerint msmsgri3.exe néven "érkezik". A fertőzés utáni első futásakor is a háttérben fut, és a regisztrációs adatbázis kódjaiban is olyan változásokat tesz, melyek ezt biztosítják:
HKLM/Szoftver/Microsoft/Windowsok/CurrentVersion/Run/mssyslanhelper
bejegyzés tartalmazza a féreg útvonalát.
W32/Slanper-A véletlenszerűen generált listát, melyek IP listának felelnek meg. A saját maga által generált lista létező IP-it megpróbálja összekötni, és a 445-ös porton keresztül ily módon terjedni. A sok más féregtől eltérően viselkedő W32/Slanper-A féreg analizálásakor feltűnt, hogy van egy hátsóajtó (backdoor) függvény is benne.
Miért írtam, hogy érdekes, szokatlan: a féregnek van egy másodlagos összetevője, ami kiszabadulva önálló fertőzésre képes féregfajta lesz. Ez az összetevő payload.dat fájlnéven található abban a mappában, ahol a féreg is. A payload.dat kódja aktiválódik, és futni kezd, a regisztrációs adatbázist az alábbiakban módosítja:
HKLM/Szoftver/Microsoft/Windowsok/CurrentVersion/Run/System Initialization
mindez biztosítja azt a lehetőséget, hogy amennyiben sikerült, a 445-ös port megszerzése után, azt használva, fenntartsa e kapcsolatát, úgy, hogy a féreg mindezek hátterében fut.
***
Azt hiszem hogy a következő féreg ismertetése előtt meg kell állni egy rövid időre: A Windows RPC-DCOM csomagkezelési hiba észlelése után idővel, kihasználva azt megjelent először a Troj/Autoroot-A, közben észlelték az Internet Explorer és az Outlook Express hibáit, leírásuk a Windows tudásbázis MS01-015, MS02-014, MS02-15-ben található, ill a javító patch az MS03-14 mellékleteként. A hibát használta ki a Mimail, amiről a szeptemberi Vírus Bulletin lapjain Szappanos Gábor, a VírusBuster munkatársa írt szenzációs elemzést. Majd "jött a Blaster-A", ill a Lovesan. Ez kellett ahhoz, hogy a meglévő foltot mindenki feltegye a rendszerére. De ennek elmaradása - a felhasználói felelőtlenség miatt - hatalmas endémiákat okozott. Bár aki felrakta a javításokat (úgy vélte), megnyugodhat. (Áprilisban a böngésző és a levelező két Cumulative Patch, ill. júliusban az PRC-DCOM Cumulative Patch - revizió augusztusban).
Tehát nyugodtak lehettünk egy ideig, míg ki nem derült, hogy ismétlődik a történelem: hiba van a Windows rendszerekben. „A biztonsági réseket az RPCSS Service-ban fedezték fel (az úgynevezett Distributed Component Object Model (DCOM) felületében); egy rosszul definiált üzenet nem megfelelő kezeléséből származnak. A három új sérülékenységből kettő lehetővé teszi, hogy a támadó kódot futtathasson a nyitott rendszeren, a harmadik pedig DoS-támadásra használható fel. Kiaknázásukkal a behatoló bármit megtehet (helyi rendszerprivilégiummal): programot telepíthet, ellenőrizhet, adatokat nézhet/változtathat meg vagy törölhet le, és akár új accountokat is létrehozhat a rendszerben." (terminal.hu).
Hát igen - kilyukadt a folt... Nem baj, foltozzuk meg - sürgős javítás, újabb javítás, és annyi folt került a Windows csomagkezelő alkalmazására, hogy "már nem is látszik". Vagy mégis - a Blastertől egy valamit megtanulhattunk: DCOM összetevő az alábbi portokon támadható: TCP/IP port 69/UDP, 135/TCP, 135/UDP, 139/TCP, 139/UDP, 445/TCP, 445/UDP, 593/TCP, 1086/TCP, 4444/TCP. Melyik portot "nézte ki" magának?, a 445-ös portot.
Az PRC -DCOM protokoll esetében intranetes környezetben a kommunikáció a 135-ös porton történik: "Ha az RPC protokollnak a TCP/IP protokollon keresztüli üzenetváltást kezelő részében biztonsági rés található - kimondható, hogy a hiba a helytelenül formázott üzenetek nem megfelelő kezeléséből ered. Ez a bizonyos biztonsági rés az elosztott komponensobjektum-modell (Distributed Component Object Model, DCOM) és az RPC közötti illesztő felületet érinti, amely a 135-ös TCP/IP portot figyeli. A felület az ügyfélszámítógépek által a kiszolgálónak küldött DCOM-objektum aktiválási kéréseket kezeli (például univerzális elnevezési konvenció [UNC] szerinti elérési utak). A hiba kihasználásához a támadónak speciálisan formázott kérést kell küldenie a távoli számítógépnek a 135-ös porton. Intranetes környezetben ez a port általában elérhető, az internethez csatlakozó számítógépeknél azonban a 135-ös portot rendszerint blokkolja a tűzfal."
Ez eddig rendben is van - de ne feledkezzünk meg, hogy a 445 TCP, UDP port is hasonlóan sérülékeny pontja a protokollnak.
Az „ismételt" hiba felfedezésekor néhány igen komoly szaktekintély részben magánlevélben, részben nyilatkozatban felvetette, hogy az előzőhöz, a Blasterhez hasonlóan, itt is a hiba felfedése után kb. 2 héttel vérhatóak a "komolyabb, intelligensebb" vírusok, várható egy hibán alapuló vírusinvázió. Előfordulhat, hogy a W32/Slanper-A a várható invázió előfutára lenne?
***
Troj/JSurf-B
Fajta: Trójai
Leírás:
Troj/JSurf-B HTML formátumú e-mail részeként terjed, elvileg a Cumulative Internet Explorer of Patch (MS03-032) megerősítette a hibát, védetté tette a gépeket.
Ha mégsem védené meg, vagy ha nem installálták a javítást, arra az esetre: amit a féregről tudni kell:
A HTML e-mail tartalmaz egy címet, egy "Object Data"-t. Olyan távoli objektét, amin egy VBS script fut. A fertőzés esetén a gépre jut egy .exe fájl, a rendszermeghajtóra, SFBAR.EXE néven. Ennek "segítségével" a távoli weblapról a Troj/JSurf-B letölt egy DLL-t: C:\Program Files\win32.dll. Ha mindez sikerül, akkor mint regsvr32.exe futhat a vírus a rendszeren. Azt hiszem, hogy a következményeket kár taglalni.
***
W32/Blaxe-A
Más nevek: Worm.P2P.Blaxe, Win32/Lablan.A, W32.HLLW.Blaxe, WORM_BLAXE.A
Meghatározás: Win32 féreg
Leírás:
W32/Blaxe-A minden elérhető, "nyitott" P2P megosztott hálózaton képes terjedni. Fertőzéskor, mikor a W32/Blaxe-A bemásolja magát a Windows mappába, BearShare.exe és WinBat.exe neveken, a következő változásokat idézi elő futása érdekében a rendszerleíró adatbázisban:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\BearShare
= WindowsBearShare.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\BearShare
= Windows\BearShare.exe
W32/Blaxe-A hozzáadja az útvonalát (ha van) a WinBat.exe-hez, illetve a regisztrációs adatbázishoz, hogy MS-DOS rendszeren is futhasson.
HKLM\Software\CLASSES\batfile\shell\open\command
W32/Blaxe-A a Kernellbe másolja magát különféle neveken.
W32/Blaxe-A a Windows\Kernell\ mappát megosztja, és ezáltal bármely fájlmegosztó rendszeren keresztül (KaZaA, Grokster és iMesh P2P hálózatok) a Kernell, ill a regisztrációs adatbázis elérhetővé válik. Különösen azért, mert a féreg az utóbbiba a következő bejegyzéseket teszi:
HKCU\Software\Kazaa\LocalContent\dir0 = 012345:C:\WINDOWS\kernell
HKCU\Software\Grokster\LocalContent\dir0 = 012345:C:\WINDOWS\kernell
HKCU\Software\iMesh\Client\LocalContent\dir1 = 012345:C:\WINDOWS\kernell
HKCU\Software\iMesh\Client\LocalContent\dir2 = 012345:C:\WINDOWS\kernell
W32/Blaxe-A "természetesen" bemásolja magát a KaZaA, KaZaA Lite, BearShare, Grokster és Morfeusz osztozott mappákba, ahol, mint "tartalék futtatható fájl pihen". (vírusleírások: Sophos Antivirus )
Ha valaki megtisztelt azzal, hogy elolvasta mindezt, neki nem kell magyaráznom talán merész hasonlatomat. Ettől függetlenül fenntartom, de nem csak hasonlatként, hanem lehetőségként, megoldásként is. Mindössze egy kis számolást kell végezni: mekkora károkat okoztak az RPC -DCOM protokoll hibái + mennyibe került javításuk + mekkora kárt okoz a jelenlegi hiba + mekkora várható még = egyetlen kérdés maradt: megéri így hibákat elhárítani?
Miért írtam mindezt: néhány sor olvasása után kiderül, de a kérdéses sorok előtti ismertetők is tartalmaznak újdonságokat napjaink vírusairól, olyanokat, amiket ismerve egyszerűbben védhetjük meg rendszerünket, konfigurálhatjuk tűzfalunkat a vírusadatbázis-frissítés mellett.
***
WM97/Simuleek-C
Más név: Macro.Word97.Omni, W97M.Radnet, W97M_BUHAY, W97M/Simuleek
Fajta: Word 97 makróvírus
Leírás:
WM97/Simuleek-C makróvírus, mely egy VBS scriptet is "letesz" fertőzésekor, melyet a víruskeresők VBS/Simuleek-C-t észlelnek.
VBS/Simuleek-C a WIN.INI-be jegyez be egy parancssort, ami biztosítja, hogy minden Windows-indításkor a vírusprogram is aktiválódik, "futni kezd". Igen kellemetlen tulajdonsága, hogy a Word környezetet többször is meg tudja fertőzni, tehát ismételt vírusfertőzést újrafertőzés követ.
Eléggé nehezen "kódolható egyszerű agyunkkal", de a Simuleek-C megkísérli a talált szövegekben - ha előfordul - a "Ranuya" szót helyettesíteni "John"-nal.
***
W32/Sluter-B
Más név: W32.Randex.F
Fajta: Win32 féreg
A Sophos számtalan jelzést kapott a "vadonból" a féreg aktivitásáról.
Leírás:
W32/Sluter-B elsősorban gyenge, könnyen dekódolható jelszavakkal védett megosztott hálózatokon terjed. Fertőzéskor a féreg bemásolja magát netd32.exe néven a Windows mappába. A regisztrációs adatbázisba - hogy futása állandóan biztosított legyen - az alábbi bejegyzéseket írja a megfelelő kulcsokhoz:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Microsoft Network Daemon Win32 = netd32.exe
és
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Microsoft Network Daemon Win32 = netd32.exe
Ezenkívül a W32/Sluter-B képes arra, hogy pontosan úgy viselkedjen, mint egy IRC hátsóajtó-féreg, és a megnyitott résen, porton korlátlan lehetősége van minden távoli betolakodónak a fertőzött rendszerbe hatolni.
***
W32/Slanper-A
Más név: W32/Slanper.féreg, Win32/HLLW.Rejase.A
Fajta: Win32 féreg
A Sophos Anti-Vírus számtalan jelzést kapott a "vadonból" a féreg aktivitásáról.
Megjegyezés: A Sophos 2003. jún. 27. (GMT 16:51) óta észleli a vírust, de miután az analízis változásokat mutatott, szükséges ismét felhívni rá a figyelmet, és a változás alapján módosítani az adatbázist.
Leírás:
W32/Slanper-A internetféreg, aminek a célja az SMB/Windows megosztott portot birtokba venni, használni. Mindent Windows host esetében ez az SMB-vel megosztott portként működik. Itt kell megjegyezni, hogy SMB részletek vagy ahhoz hasonlóak találhatók a Unix, ill. más operációs rendszereken is. A féreg rendszerint msmsgri3.exe néven "érkezik". A fertőzés utáni első futásakor is a háttérben fut, és a regisztrációs adatbázis kódjaiban is olyan változásokat tesz, melyek ezt biztosítják:
HKLM/Szoftver/Microsoft/Windowsok/CurrentVersion/Run/mssyslanhelper
bejegyzés tartalmazza a féreg útvonalát.
W32/Slanper-A véletlenszerűen generált listát, melyek IP listának felelnek meg. A saját maga által generált lista létező IP-it megpróbálja összekötni, és a 445-ös porton keresztül ily módon terjedni. A sok más féregtől eltérően viselkedő W32/Slanper-A féreg analizálásakor feltűnt, hogy van egy hátsóajtó (backdoor) függvény is benne.
Miért írtam, hogy érdekes, szokatlan: a féregnek van egy másodlagos összetevője, ami kiszabadulva önálló fertőzésre képes féregfajta lesz. Ez az összetevő payload.dat fájlnéven található abban a mappában, ahol a féreg is. A payload.dat kódja aktiválódik, és futni kezd, a regisztrációs adatbázist az alábbiakban módosítja:
HKLM/Szoftver/Microsoft/Windowsok/CurrentVersion/Run/System Initialization
mindez biztosítja azt a lehetőséget, hogy amennyiben sikerült, a 445-ös port megszerzése után, azt használva, fenntartsa e kapcsolatát, úgy, hogy a féreg mindezek hátterében fut.
***
Azt hiszem hogy a következő féreg ismertetése előtt meg kell állni egy rövid időre: A Windows RPC-DCOM csomagkezelési hiba észlelése után idővel, kihasználva azt megjelent először a Troj/Autoroot-A, közben észlelték az Internet Explorer és az Outlook Express hibáit, leírásuk a Windows tudásbázis MS01-015, MS02-014, MS02-15-ben található, ill a javító patch az MS03-14 mellékleteként. A hibát használta ki a Mimail, amiről a szeptemberi Vírus Bulletin lapjain Szappanos Gábor, a VírusBuster munkatársa írt szenzációs elemzést. Majd "jött a Blaster-A", ill a Lovesan. Ez kellett ahhoz, hogy a meglévő foltot mindenki feltegye a rendszerére. De ennek elmaradása - a felhasználói felelőtlenség miatt - hatalmas endémiákat okozott. Bár aki felrakta a javításokat (úgy vélte), megnyugodhat. (Áprilisban a böngésző és a levelező két Cumulative Patch, ill. júliusban az PRC-DCOM Cumulative Patch - revizió augusztusban).
Tehát nyugodtak lehettünk egy ideig, míg ki nem derült, hogy ismétlődik a történelem: hiba van a Windows rendszerekben. „A biztonsági réseket az RPCSS Service-ban fedezték fel (az úgynevezett Distributed Component Object Model (DCOM) felületében); egy rosszul definiált üzenet nem megfelelő kezeléséből származnak. A három új sérülékenységből kettő lehetővé teszi, hogy a támadó kódot futtathasson a nyitott rendszeren, a harmadik pedig DoS-támadásra használható fel. Kiaknázásukkal a behatoló bármit megtehet (helyi rendszerprivilégiummal): programot telepíthet, ellenőrizhet, adatokat nézhet/változtathat meg vagy törölhet le, és akár új accountokat is létrehozhat a rendszerben." (terminal.hu).
Hát igen - kilyukadt a folt... Nem baj, foltozzuk meg - sürgős javítás, újabb javítás, és annyi folt került a Windows csomagkezelő alkalmazására, hogy "már nem is látszik". Vagy mégis - a Blastertől egy valamit megtanulhattunk: DCOM összetevő az alábbi portokon támadható: TCP/IP port 69/UDP, 135/TCP, 135/UDP, 139/TCP, 139/UDP, 445/TCP, 445/UDP, 593/TCP, 1086/TCP, 4444/TCP. Melyik portot "nézte ki" magának?, a 445-ös portot.
Az PRC -DCOM protokoll esetében intranetes környezetben a kommunikáció a 135-ös porton történik: "Ha az RPC protokollnak a TCP/IP protokollon keresztüli üzenetváltást kezelő részében biztonsági rés található - kimondható, hogy a hiba a helytelenül formázott üzenetek nem megfelelő kezeléséből ered. Ez a bizonyos biztonsági rés az elosztott komponensobjektum-modell (Distributed Component Object Model, DCOM) és az RPC közötti illesztő felületet érinti, amely a 135-ös TCP/IP portot figyeli. A felület az ügyfélszámítógépek által a kiszolgálónak küldött DCOM-objektum aktiválási kéréseket kezeli (például univerzális elnevezési konvenció [UNC] szerinti elérési utak). A hiba kihasználásához a támadónak speciálisan formázott kérést kell küldenie a távoli számítógépnek a 135-ös porton. Intranetes környezetben ez a port általában elérhető, az internethez csatlakozó számítógépeknél azonban a 135-ös portot rendszerint blokkolja a tűzfal."
Ez eddig rendben is van - de ne feledkezzünk meg, hogy a 445 TCP, UDP port is hasonlóan sérülékeny pontja a protokollnak.
Az „ismételt" hiba felfedezésekor néhány igen komoly szaktekintély részben magánlevélben, részben nyilatkozatban felvetette, hogy az előzőhöz, a Blasterhez hasonlóan, itt is a hiba felfedése után kb. 2 héttel vérhatóak a "komolyabb, intelligensebb" vírusok, várható egy hibán alapuló vírusinvázió. Előfordulhat, hogy a W32/Slanper-A a várható invázió előfutára lenne?
***
Troj/JSurf-B
Fajta: Trójai
Leírás:
Troj/JSurf-B HTML formátumú e-mail részeként terjed, elvileg a Cumulative Internet Explorer of Patch (MS03-032) megerősítette a hibát, védetté tette a gépeket.
Ha mégsem védené meg, vagy ha nem installálták a javítást, arra az esetre: amit a féregről tudni kell:
A HTML e-mail tartalmaz egy címet, egy "Object Data"-t. Olyan távoli objektét, amin egy VBS script fut. A fertőzés esetén a gépre jut egy .exe fájl, a rendszermeghajtóra, SFBAR.EXE néven. Ennek "segítségével" a távoli weblapról a Troj/JSurf-B letölt egy DLL-t: C:\Program Files\win32.dll. Ha mindez sikerül, akkor mint regsvr32.exe futhat a vírus a rendszeren. Azt hiszem, hogy a következményeket kár taglalni.
***
W32/Blaxe-A
Más nevek: Worm.P2P.Blaxe, Win32/Lablan.A, W32.HLLW.Blaxe, WORM_BLAXE.A
Meghatározás: Win32 féreg
Leírás:
W32/Blaxe-A minden elérhető, "nyitott" P2P megosztott hálózaton képes terjedni. Fertőzéskor, mikor a W32/Blaxe-A bemásolja magát a Windows mappába, BearShare.exe és WinBat.exe neveken, a következő változásokat idézi elő futása érdekében a rendszerleíró adatbázisban:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\BearShare
= WindowsBearShare.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\BearShare
= Windows\BearShare.exe
W32/Blaxe-A hozzáadja az útvonalát (ha van) a WinBat.exe-hez, illetve a regisztrációs adatbázishoz, hogy MS-DOS rendszeren is futhasson.
HKLM\Software\CLASSES\batfile\shell\open\command
W32/Blaxe-A a Kernellbe másolja magát különféle neveken.
- (Adult porn sex nude illegal gangbang) Website Password Cracker.exe
- A+ Certification Ultimate Study Guide.exe
- ACDSee 4.1 cracked.exe
- Adobe 6 crack.exe
- Adobe 6 full (iso).exe
- Adobe 6.0 crack.exe
- Adobe 6.0 full.exe
- Adobe 6.0.exe
- Adobe crack.exe
- Adobe Photoshop 6 Ultimate Study Guide.exe
- Adobe Photoshop 6.0.exe
- Adobe Photoshop.exe
- Adult movie.exe
- adult(hardcore sex movie xxx)movie.exe
- AdvZip Recovery.exe
- AIM hacker.exe
- AIM Pass stealer.exe
- aim.exe
- aimcracker.exe
- aimhacker.exe
- All Cliff notes (cliff's).exe
- AMI BIOS Cracker.exe
- anarchistcookbook.exe
- anastasia anal.exe
- anastasia naked.exe
- anastasia nude.exe
- Anonymous email.exe
- ANSI C Ultimate Study Guide.exe
- antistudy.exe
- AOL Hacker.exe
- aol.exe
- Autocad 2002 Crack.exe
- BabylonX Backdoor.exe
- BabylonX password cracker.exe
- Bandwidth Booster 4.2 for Cable.exe
- BlackICE Defender.exe
- Borland C++ Builder 8.0 iso.exe
- Britney Spears anal movie.exe
- Britney Spears Blowjob movie.exe
- Britney Spears hardcore xx movie.exe
- Britney Spears in bath (movie).exe
- Britney Spears naked.exe
- Britney Spears Nipple slip.exe
- Britney Spears nude wallpaper.exe
- BRUTAL FORCED PRETEEN ANAL SEX.exe
- buttman.exe
- C++ Ultimate Study Guide.exe
- Cable Modem Anonymizer.exe
- Cable Uncapper.exe
- catherine zeta jones anal.exe
- catherine zeta jones naked.exe
- catherine zeta jones nude.exe
- Christina Aguilera adult movie.exe
- Christina Aguilera having sex(mov).exe
- Christina Aguilera movie.exe
- Christina Aguilera nude wallpaper (xxx lesbian).exe
- Christina Aguilera sucks cock.exe
- CloneCD Crack (all versions).exe
- CloneCD Keygen.exe
- CloneCD.exe
- College Biology Ultimate Study Guide.exe
- College Chemistry Ultimate Study Guide.exe
- College Computer Engineering Ultimate Study Guide.exe
- College Computer Science Ultimate Study Guide.exe
- College English Ultimate Study Guide.exe
- College Ethics Ultimate Study Guide.exe
- College History Ultimate Study Guide.exe
- College Philosophy Ultimate Study Guide.exe
- Command and Conquer cnc c&c Generals iso.exe
- Command and Conquer cnc c&c Renegade iso.exe
- Conceal PC Firewall.exe
- Copy (11) of ZoneAlarm Firewall Pro.exe
- Copy of ZoneAlarm Firewall Pro.exe
- Counter Strike CD Keygen.exe
- counter-strike.exe
- Crack XBOX live.exe
- Credit Card number generator VERIFIER (cc cc#).exe
- Dark Planet Battle For Natrolis cracked.exe
- Delphi 5 Keygen.exe
- Delphi 6 Keygen.exe
- Delphi Ultimate Study Guide.exe
- delphi.exe
- Digimon.exe
- DivX Codec 4.0 (codec only).exe
- DivX Codec 5.0 (codec only).exe
- DivX Codec 6.0 beta (codec only).exe
- divx fix.exe
- divx pro.exe
- divx repair.exe
- DoS Attacker.exe
- Dreamcast Emulator.exe
- driver.exe
- DSL Anonymizer.exe
- DSL Uncapper.exe
- Easy CD Creator crack (all versions) (core).exe
- edonkey serverlist.exe
- Emailbomber.exe
- End Of Twilight iso.exe
- ESPN NFL Primetime 2002 iso.exe
- ftp cracker.exe
- ftp hacker.exe
- fuck.exe
- Gamecube Emulator.exe
- Ghost Recon - Desert Siege.exe
- Girls gone wild collection - sex porn nudity hardcore (self-extractor).exe
- GTA 2 crack noCD.exe
- GTA Vice City crack noCD.exe
- GTA Vice City crack.exe
- gta3.exe
- hack aim.exe
- Hack hotmail.exe
- hacker utils 2002.exe
- hacking tools 2002.exe
- Half life Cd keygen.exe
- happybirthday.exe
- Hooligans iso.exe
- host faker.exe
- host spoofer.exe
- HotGirls.exe
- hotmail account sniffer.exe
- hotmail hack.exe
- hotmail hacker.exe
- hotmailcracker.exe
- hotmailhacker.exe
- HOWTO Crack XBOX live.txt.exe
- ICQ AIM Password stealer.exe
- ICQ hack.exe
- ICQ Hackingtools.exe
- icqcracker.exe
- icqhacker.exe
- ident faker.exe
- ident spoofer.exe
- IIS shellbind exploit.exe
- Incoming Forces iso.exe
- invisible IP.exe
- ip faker.exe
- ip spoofer.exe
- IRC hacker.exe
- Kate Winslet adult movie.exe
- Kazaa Advertisement Ad remover.exe
- kazaa.exe
- keygen all.exe
- Keylogger v1.0.exe
- kmd151 en.exe
- learn how to hack.exe
- linux root.exe
- Linux rootaccess.exe
- linux.exe
- Macromedia Flash 5 Ultimate Study Guide.exe
- Macromedia Flash 5.exe
- Max Payne full iso.exe
- Max Payne Multiplayer Addon.exe
- MCSE Ultimate Study Guide.exe
- Microsoft Office XP Upgrade (from older versions).exe
- Microsoft Visual C++ 7.0 iso.exe
- Might and Magic 1 crack.exe
- Might and Magic 2 crack.exe
- Might and Magic 3 crack.exe
- Might and Magic 4 crack.exe
- Might and Magic 5 crack.exe
- Might and Magic 6 crack.exe
- Might and Magic 7 crack.exe
- Might and Magic 8 crack.exe
- Might and Magic 9 crack.exe
- Mirc 6.4.exe
- mIRC backdoor hack.exe
- Monsterville cracked.exe
- MSN banner remover.exe
- MSN hacker.exe
- msn IP finder.exe
- msncracker.exe
- msnhacker.exe
- Nero 5.5 Crack.exe
- Nero Burning Rom 5 cracked.exe
- Nero Burning Rom 5.5 Crack.exe
- Nikki Cox nude.exe
- Nikki cox Playboy session.exe
- Nikki Cox sex movie.exe
- Norton AntiVirus 2002.exe
- Norton Internet Security 2002.exe
- Norton Systemworks 2002.exe
- Norton Utilities 2002.exe
- Notron Utilities 2002.exe
- Office key Gen.exe
- Office XP Corporate Ed. iso.exe
- Office XP crack.exe
- Office Xp keygen.exe
- OfficeXP Keygen.exe
- Oni 2nd second edition.exe
- Pamela Anderson adult movie.exe
- pamela anderson anal.exe
- Pamela Anderson and Tommy Lee hardcore holiday movie.exe
- Pamela Anderson deepthroat.exe
- Pamela Anderson gets fucked.exe
- pamela anderson naked.exe
- pamela anderson nude.exe
- pamela anderson.exe
- Perl Ultimate Study Guide.exe
- PHP4 Ultimate Study Guide.exe
- Playboy nude wallpaper.exe
- Playstation 2 PS2 Emulator.exe
- Pokemon.exe
- porn account cracker.exe
- porn account hacker.exe
- PS1 BootCD.exe
- PS2 BootCD.exe
- PS2 emulator bleem.exe
- Quake 3 cracked (works on all servers).exe
- Quake 4 leaked beta (cracked).exe
- Quicken Pro 2002 iso.exe
- Ray Crisis iso.exe
- Return to the Castle Wolfenstein iso.exe
- sandra bullock naked.exe
- sandra bullock nude.exe
- sarah michelle gellar naked.exe
- sarah michelle gellar nude.exe
- serials2003.exe
- shakira a-sf--ked.exe
- shakira anal.exe
- shakira naked.exe
- shakira nude.exe
- shakira paparazzi collection.exe
- Soldier of Fortune 2 CD1 ISO.exe
- Soldier of Fortune 2 CD2 ISO.exe
- Sound Forge XP Studio + Serial.exe
- Space Empires IV 4 Gold iso.exe
- Spiderman SVCD CD1.exe
- Spiderman SVCD CD2.exe
- Spiderman SVCD CD3.exe
- Sub7 masterpwd.exe
- subseven.exe
- tripod cracker.exe
- tripod hacker.exe
- VB6.exe
- VirtuaSex.exe
- visio.exe
- wc3 keygen.exe
- win2k pass decryptor.exe
- Win2k reboot exploit.exe
- win2k serial.exe
- Winamp.exe
- Windows 98 crack.exe
- Windows 98 keygen.exe
- Windows Keygen allver.exe
- Windows ME crack.exe
- Windows ME keygen.exe
- Windows NT crack.exe
- Windows NT keygen.exe
- Windows XP crack.exe
- Windows XP keygen.exe
- winxp crack.exe
- winxp cracker.exe
- winxp hacker.exe
- WinXP Keygen.exe
- winxphack.exe
- Winzip Pass Cracker.exe
- Word Pass Cracker.exe
- worldbook.exe
- xbox emulator beta.exe
- XP Box emulator.exe
- XP DVD Plugin.exe
- XP keygen.exe
- XP ScreenSaver.exe
- XP.exe
- yahoo cracker.exe
- yahoo hacker.exe
- Yahoo mail cracker.exe
W32/Blaxe-A a Windows\Kernell\ mappát megosztja, és ezáltal bármely fájlmegosztó rendszeren keresztül (KaZaA, Grokster és iMesh P2P hálózatok) a Kernell, ill a regisztrációs adatbázis elérhetővé válik. Különösen azért, mert a féreg az utóbbiba a következő bejegyzéseket teszi:
HKCU\Software\Kazaa\LocalContent\dir0 = 012345:C:\WINDOWS\kernell
HKCU\Software\Grokster\LocalContent\dir0 = 012345:C:\WINDOWS\kernell
HKCU\Software\iMesh\Client\LocalContent\dir1 = 012345:C:\WINDOWS\kernell
HKCU\Software\iMesh\Client\LocalContent\dir2 = 012345:C:\WINDOWS\kernell
W32/Blaxe-A "természetesen" bemásolja magát a KaZaA, KaZaA Lite, BearShare, Grokster és Morfeusz osztozott mappákba, ahol, mint "tartalék futtatható fájl pihen". (vírusleírások: Sophos Antivirus )
Ha valaki megtisztelt azzal, hogy elolvasta mindezt, neki nem kell magyaráznom talán merész hasonlatomat. Ettől függetlenül fenntartom, de nem csak hasonlatként, hanem lehetőségként, megoldásként is. Mindössze egy kis számolást kell végezni: mekkora károkat okoztak az RPC -DCOM protokoll hibái + mennyibe került javításuk + mekkora kárt okoz a jelenlegi hiba + mekkora várható még = egyetlen kérdés maradt: megéri így hibákat elhárítani?
Kapcsolódó cikkek
- Hangüzenet kíséretében pusztít a BotVoice.A trójai
- Kritikus fontosságú Windows-, Office-, Excel-javítások érkeznek
- Az AIDS veszélyeire hívja fel a figyelmet egy új vírus
- Vírust terjeszt a hamis Adobe letöltőoldal
- Az adathalászat növekedést, a botok előfordulása csökkenést mutat
- Totális háború: egymillió vírus készenlétben
- Májusi kémprogram toplista
- 10 antivírus-szoftver megbukott a júniusi VB 100 teszten
- 15 rést javít a Microsoft 6 biztonsági frissítése
- Négy kritikus javítás kiadására készül a Microsoft