W32/Dumaru.y@MM: már közepesen veszélyes

forrás Prim Online, 2004. január 27. 08:55
Az AVERT, a Network Associates vírusszakértői csoportja közleménye szerint a W32/Dumaru.y@MM email-féreg veszélyességi besorolását "alacsonyról" "közepesre" növelte.

A saját SMTP motort is tartalmazó W32/Dumaru.y@MM e-mail leveleken keresztül terjed. A megfertőzött rendszereken a .HTM, . HTML, .WAB, .DBX, .TBB és .ABD kiterjesztésű fájlokból gyűjti össze az email címeket, de emellett speciális böngésző funkciók (online banking!) közben a billentyűleütéseket is naplózza. Az így rögzített adatokat egy VXDLOAD.LOG nevű fájlba vezeti be. A fentieken túl a vágólapról is képes adatokat lopni, ezeket pedig egy RUNDLLX.SYS nevű fájlba vezeti be. Naplófájljait a féreg megpróbálja email levélben elküldeni alkotójának, a féregbe "bedrótozott" email címekre.

Amennyiben a megfertőzött gép nem rendelkezik megbízható tűzfalas védelemmel, a féreg a 2283-as és 10000-es portokon várja, hogy készítője vagy egy másik hacker utasításokat adjon számára, például FTP parancsokkal.

A Dumaru.y egy csatolt ZIP fájlban érkezik, melynek tartalma egy olyan állomány, amelyben egy "MYPHOTO.JPG .EXE" fájlt található. A .EXE előtti sok szóköz miatt a tényleges kiterjesztés többnyire észrevétlen marad.

Feladó: (általában hamis cím)

Tárgy: Important information for you. Read it immediately !

Szöveg: Hi!

Here is my photo, that you asked for yesterday.

...

Csatolt állomány: MYPHOTO.ZIP, mérete 17 Kb körül változik

A kibontott állomány lefutásakor a féreg több másolatot is készít magáról a Windows könyvtárába, és a Windows\System32 könyvtárba. Az előbbibe RUNDLLX.SYS, az utóbbiba VXD32V.EXE, illetve L32X.EXE néven. Emellett még a Windows Startup könyvtárába is bemásolja magát DLLXW.EXE néven. Az eredeti csatolmányról is készít egy másolatot a Windowson belül ZIP.TMP néven a TEMP alkönyvtárba.

Windows 9x és NT rendszereken a féreg a Registy-n belül hoz létre program indító bejegyzést a
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

kulcs alatt "load32" néven, és ehhez a "%SysDir%\L32X.EXE" értéket rendeli.

Windows NT/2k/XP rendszereken a

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows T\CurrentVersion\
Winlogon

kulcson belül a "Shell" változó értékét módosítja: Itt "Explorer.exe" helyett az új érték "explorer.exe %SysDir%\VXD32V.EXE" lesz

A W32.Dumaru.y@MM a Registry bejegyzések módosításán túl a WIN.INI és SYSTEM.INI fájlokba is beépíti saját kötelező indítását:

A WIN.INI fájlban a [windows] szekcióban:

"run" = %WinDir%\RUNDLLX.SYS

A SYTEM.INI [boot] szekciójában a "shell = Explorer.exe helyére

"shell" = explorer.exe %SysDir%\VXD32V.EXE

kerül.

A W32/Dumaru.Y@MM férget január 24-én fedezték fel, és az aznap kiadott 4318-as DAT fájl már tartalmazza a vírus felismeréséhez szükséges információt. A felismeréshez és eltávolításhoz a legfrissebb DAT és EXTRA.DAT fájlok már elérhetőek a http://www.networkassociates.com/us/downloads/updates/dat.asp címen.

Kézi eltávolításkor a felismert féregprogramokon kívül törölni kell a féreg által létrehozott egyéb fájlokat is (lásd fentebb), és törölni kell, illetve helyre kell állítani az ismertetőben bemutatott Registry bejegyzéseket, illetve WIN.INI és SYSTEM.INI sorokat is.

Biztonság ROVAT TOVÁBBI HÍREI

Felmérés: a hollandiai szervezetek negyede nincs felkészülve kibertámadásra

Hollandiában a közepes és nagyvállalatok negyede nincs felkészülve egy esetleges kibertámadásra – jelentette hétfőn az NLTimes című holland hírportál a KPN holland távközlési vállalat megrendelésére készült felmérésre hivatkozva, amelyben kiemelik az egészségügyi szektor veszélyeztetettségét is.

2024. november 4. 13:17

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Gépek is rajthoz állnak a most induló Országos IT Megmérettetésen

2024. október 28. 18:06

Megnyitott a Vatera Galéria, a válogatott műtárgyak új platformja

2024. október 22. 15:25

Egy év alatt 45 milliárd forintot loptak el tőlünk a digitális bűnözők

2024. október 15. 16:51

Idén már ezernél is több résztvevőt várnak a Service Design Day-re

2024. október 7. 09:59