Játék CD-k kulcsait gyűjti az új féreg
forrás Prim Online, 2003. szeptember 27. 10:38
Ismét gyarapodott azon kórokozók száma, melyek a rendszereinket veszélyeztetik. A 15-én észlelt W32/Randex-G tipikus hálózati PE .exe féreg, mely elsősorban az IRC kommunikációs csatornán terjed.
Maga a féreg egyszerű – tömörítetlen „gyengén kódolt" állomány –, ennek ellenére a gépre kerülve a „gazda" irányításával számtalan károd funkciót képes végrehajtani. A neve karimát jelent. Ez még nem szokatlan, hanem van egy „gyerekes", érthetetlen funkciója: a játék CD-k kulcsait gyűjti és továbbítja.
Név: W32/Randex-G [Sophos]
Más nevek: W32/Randex.worm.c [McAfee], Backdoor.SdBot.gen [KAV]
W32.Randex.A, W32.Randex.B, W32.Randex.C, W32.Randex.D, W32.Randex.E, W32.Randex.F Worm.Randex.g, W95/Randex.J, W32/Sdbot.worm.gen.b, Win32/Randex.G, W32.Randex.C, WORM_RANDEX.F
Típus: Win32 PE exe féreg.
Mérete: 73728 byte – a féregfile nem tömörített, mindössze egy egyszerű cryptalgoritmussal titkosították.
Észlelés: 2003. 09. 26. (ez megelőzően már detektálták néhány variánsát)
Leírás:
W32/Randex-G hálózati féreg, mely hátsóajtó" kialakítási képességekkel bír. Igy az IRC csatornákon keresztül a féreg küldője távolról képes vezérelni, általában olyan „sikerrel", hogy a gép irányítását is át tudja venni.
W32/Randex-G a hálózaton terjedve első futásakor bemásolja magát a Windows system32 gyenge, könnyen megfejthető jelszavakkal védett C$ és Admin$ alkönyvtáraiba ntd32.exe néven.
\ADMIN$\system32\netd32.exe
\C$\WINNT\system32\netd32.exe
Amikor a féreg program fut, megpróbálja a fertőzött rendszert egy jellegzetes, speciális IRC csatornára csatlakoztatni. A féregre jellemző, hogy a háttérben fut, mint egy szerverprogram, várva a „gazda" utasításait – általában azt, hogy melyik programot indítsa el.
Első alkalommal, amikor a fertőzés után a kódja fut, a következő bejegyzéseket teszi a rendszerleíró adatbázis kulcsaihoz, azzal a céllal, hogy biztosítsa azt, hogy minden Windows indításkor a féregprogram is fusson:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Microsoft Network Daemon for Win32 = ntd32.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Microsoft Network Daemon for Win32 = ntd32.exe
A féregíró irányításával számtalan művelet végrehajtására képes, pl.:
Bevallom, számomra teljesen érthetetlen okból a
W32/Randex-G begyűjti, és elküldi a következő játékok CD kulcsait:
Név: W32/Randex-G [Sophos]
Más nevek: W32/Randex.worm.c [McAfee], Backdoor.SdBot.gen [KAV]
W32.Randex.A, W32.Randex.B, W32.Randex.C, W32.Randex.D, W32.Randex.E, W32.Randex.F Worm.Randex.g, W95/Randex.J, W32/Sdbot.worm.gen.b, Win32/Randex.G, W32.Randex.C, WORM_RANDEX.F
Típus: Win32 PE exe féreg.
Mérete: 73728 byte – a féregfile nem tömörített, mindössze egy egyszerű cryptalgoritmussal titkosították.
Észlelés: 2003. 09. 26. (ez megelőzően már detektálták néhány variánsát)
Leírás:
W32/Randex-G hálózati féreg, mely hátsóajtó" kialakítási képességekkel bír. Igy az IRC csatornákon keresztül a féreg küldője távolról képes vezérelni, általában olyan „sikerrel", hogy a gép irányítását is át tudja venni.
W32/Randex-G a hálózaton terjedve első futásakor bemásolja magát a Windows system32 gyenge, könnyen megfejthető jelszavakkal védett C$ és Admin$ alkönyvtáraiba ntd32.exe néven.
\ADMIN$\system32\netd32.exe
\C$\WINNT\system32\netd32.exe
Amikor a féreg program fut, megpróbálja a fertőzött rendszert egy jellegzetes, speciális IRC csatornára csatlakoztatni. A féregre jellemző, hogy a háttérben fut, mint egy szerverprogram, várva a „gazda" utasításait – általában azt, hogy melyik programot indítsa el.
Első alkalommal, amikor a fertőzés után a kódja fut, a következő bejegyzéseket teszi a rendszerleíró adatbázis kulcsaihoz, azzal a céllal, hogy biztosítsa azt, hogy minden Windows indításkor a féregprogram is fusson:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Microsoft Network Daemon for Win32 = ntd32.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Microsoft Network Daemon for Win32 = ntd32.exe
A féregíró irányításával számtalan művelet végrehajtására képes, pl.:
Naplózza az IRC-n létrehozott bot adatait;
Képes összekötni, vagy szétkapcsolni IRC szervereket;
„Ellopja" az összeköttetés, ill. maga a rendszer fontos információit;
A „tulajdonos" által meghatározott fájlokat futtatja;
Képes SYN flood létrehozására;
Klónokat képes létrehozni;
Segítségével könnyen indítható DOS támadás;
Képes összekötni, vagy szétkapcsolni IRC szervereket;
„Ellopja" az összeköttetés, ill. maga a rendszer fontos információit;
A „tulajdonos" által meghatározott fájlokat futtatja;
Képes SYN flood létrehozására;
Klónokat képes létrehozni;
Segítségével könnyen indítható DOS támadás;
Bevallom, számomra teljesen érthetetlen okból a
W32/Randex-G begyűjti, és elküldi a következő játékok CD kulcsait:
Kapcsolódó cikkek
- Hangüzenet kíséretében pusztít a BotVoice.A trójai
- Az AIDS veszélyeire hívja fel a figyelmet egy új vírus
- Vírust terjeszt a hamis Adobe letöltőoldal
- Az adathalászat növekedést, a botok előfordulása csökkenést mutat
- Totális háború: egymillió vírus készenlétben
- Májusi kémprogram toplista
- 10 antivírus-szoftver megbukott a júniusi VB 100 teszten
- Sophos biztonsági megoldás a General Electric 350.000 gépén
- Piacvezető itthon a NOD32
- "Virus Bulletin 100%" díjat kapott a VirusBuster Professional