Játék CD-k kulcsait gyűjti az új féreg

forrás Prim Online, 2003. szeptember 27. 10:38

Ismét gyarapodott azon kórokozók száma, melyek a rendszereinket veszélyeztetik. A 15-én észlelt W32/Randex-G tipikus hálózati PE .exe féreg, mely elsősorban az IRC kommunikációs csatornán terjed.
Maga a féreg egyszerű – tömörítetlen „gyengén kódolt" állomány –, ennek ellenére a gépre kerülve a „gazda" irányításával számtalan károd funkciót képes végrehajtani. A neve karimát jelent. Ez még nem szokatlan, hanem van egy „gyerekes", érthetetlen funkciója: a játék CD-k kulcsait gyűjti és továbbítja.

Név: W32/Randex-G [Sophos]

Más nevek: W32/Randex.worm.c [McAfee], Backdoor.SdBot.gen [KAV]

W32.Randex.A, W32.Randex.B, W32.Randex.C, W32.Randex.D, W32.Randex.E, W32.Randex.F Worm.Randex.g, W95/Randex.J, W32/Sdbot.worm.gen.b, Win32/Randex.G, W32.Randex.C, WORM_RANDEX.F

Típus: Win32 PE exe féreg.

Mérete: 73728 byte – a féregfile nem tömörített, mindössze egy egyszerű cryptalgoritmussal titkosították.

Észlelés: 2003. 09. 26. (ez megelőzően már detektálták néhány variánsát)

Leírás:

W32/Randex-G hálózati féreg, mely hátsóajtó" kialakítási képességekkel bír. Igy az IRC csatornákon keresztül a féreg küldője távolról képes vezérelni, általában olyan „sikerrel", hogy a gép irányítását is át tudja venni.

W32/Randex-G a hálózaton terjedve első futásakor bemásolja magát a Windows system32 gyenge, könnyen megfejthető jelszavakkal védett C$ és Admin$ alkönyvtáraiba ntd32.exe néven.

\ADMIN$\system32\netd32.exe

\C$\WINNT\system32\netd32.exe

Amikor a féreg program fut, megpróbálja a fertőzött rendszert egy jellegzetes, speciális IRC csatornára csatlakoztatni. A féregre jellemző, hogy a háttérben fut, mint egy szerverprogram, várva a „gazda" utasításait – általában azt, hogy melyik programot indítsa el.

Első alkalommal, amikor a fertőzés után a kódja fut, a következő bejegyzéseket teszi a rendszerleíró adatbázis kulcsaihoz, azzal a céllal, hogy biztosítsa azt, hogy minden Windows indításkor a féregprogram is fusson:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

Microsoft Network Daemon for Win32 = ntd32.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

Microsoft Network Daemon for Win32 = ntd32.exe

A féregíró irányításával számtalan művelet végrehajtására képes, pl.:

Naplózza az IRC-n létrehozott bot adatait;

Képes összekötni, vagy szétkapcsolni IRC szervereket;

„Ellopja" az összeköttetés, ill. maga a rendszer fontos információit;

A „tulajdonos" által meghatározott fájlokat futtatja;

Képes SYN flood létrehozására;

Klónokat képes létrehozni;

Segítségével könnyen indítható DOS támadás;

Bevallom, számomra teljesen érthetetlen okból a

W32/Randex-G begyűjti, és elküldi a következő játékok CD kulcsait:

Battlefield 1942

Battlefield 1942 The Road to Rome

Half-Life

Unreal Tournament 2003

Biztonság ROVAT TOVÁBBI HÍREI

Felmérés: a hollandiai szervezetek negyede nincs felkészülve kibertámadásra

Hollandiában a közepes és nagyvállalatok negyede nincs felkészülve egy esetleges kibertámadásra – jelentette hétfőn az NLTimes című holland hírportál a KPN holland távközlési vállalat megrendelésére készült felmérésre hivatkozva, amelyben kiemelik az egészségügyi szektor veszélyeztetettségét is.

2024. november 4. 13:17

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Gépek is rajthoz állnak a most induló Országos IT Megmérettetésen

2024. október 28. 18:06

Megnyitott a Vatera Galéria, a válogatott műtárgyak új platformja

2024. október 22. 15:25

Egy év alatt 45 milliárd forintot loptak el tőlünk a digitális bűnözők

2024. október 15. 16:51

Idén már ezernél is több résztvevőt várnak a Service Design Day-re

2024. október 7. 09:59