W32/Dumaru.y@MM: már közepesen veszélyes
A
saját SMTP motort is tartalmazó W32/Dumaru.y@MM e-mail leveleken keresztül
terjed. A megfertőzött rendszereken a .HTM, . HTML, .WAB, .DBX, .TBB és .ABD
kiterjesztésű fájlokból gyűjti össze az email címeket, de emellett speciális
böngésző funkciók (online banking!) közben a billentyűleütéseket is naplózza. Az
így rögzített adatokat egy VXDLOAD.LOG nevű fájlba vezeti be. A fentieken túl a
vágólapról is képes adatokat lopni, ezeket pedig egy RUNDLLX.SYS nevű fájlba
vezeti be. Naplófájljait a féreg megpróbálja email levélben elküldeni
alkotójának, a féregbe "bedrótozott" email címekre.
Amennyiben
a megfertőzött gép nem rendelkezik megbízható tűzfalas védelemmel, a féreg a
2283-as és 10000-es portokon várja, hogy készítője vagy egy másik hacker
utasításokat adjon számára, például FTP parancsokkal.
A Dumaru.y
egy csatolt ZIP fájlban érkezik, melynek tartalma egy olyan állomány, amelyben
egy "MYPHOTO.JPG
.EXE" fájlt található. A .EXE előtti sok szóköz miatt a tényleges
kiterjesztés többnyire észrevétlen marad.
Feladó: (általában hamis cím)
Tárgy: Important information for you. Read it immediately !
Szöveg: Hi!
Here is my photo, that you asked for yesterday.
...
Csatolt
állomány: MYPHOTO.ZIP, mérete 17 Kb
körül változik
A
kibontott állomány lefutásakor a féreg több másolatot is készít magáról a
Windows könyvtárába, és a Windows\System32
könyvtárba. Az előbbibe RUNDLLX.SYS, az utóbbiba VXD32V.EXE, illetve
L32X.EXE néven. Emellett még a Windows Startup könyvtárába is bemásolja magát
DLLXW.EXE néven. Az eredeti csatolmányról is készít egy másolatot a Windowson
belül ZIP.TMP néven a TEMP alkönyvtárba.
Windows
9x és NT rendszereken a féreg a Registy-n belül hoz létre program indító
bejegyzést a
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
kulcs
alatt "load32" néven, és ehhez a "%SysDir%\L32X.EXE" értéket rendeli.
Windows
NT/2k/XP rendszereken a
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows T\CurrentVersion\
Winlogon
kulcson belül a "Shell" változó értékét módosítja: Itt "Explorer.exe" helyett az új érték "explorer.exe %SysDir%\VXD32V.EXE" lesz
A W32.Dumaru.y@MM a Registry bejegyzések módosításán túl a WIN.INI és SYSTEM.INI fájlokba is beépíti saját kötelező indítását:
A WIN.INI fájlban a [windows] szekcióban:
"run" = %WinDir%\RUNDLLX.SYS
A SYTEM.INI [boot] szekciójában a "shell = Explorer.exe helyére
"shell" = explorer.exe %SysDir%\VXD32V.EXE
kerül.
A W32/Dumaru.Y@MM
férget január 24-én fedezték fel, és az aznap kiadott 4318-as DAT fájl már
tartalmazza a vírus felismeréséhez szükséges információt. A felismeréshez és
eltávolításhoz a legfrissebb DAT és EXTRA.DAT fájlok már elérhetőek a http://www.networkassociates.com/us/downloads/updates/dat.asp
címen.
Kézi
eltávolításkor a felismert féregprogramokon kívül törölni kell a féreg által
létrehozott egyéb fájlokat is (lásd fentebb), és törölni kell, illetve helyre
kell állítani az ismertetőben bemutatott Registry bejegyzéseket, illetve
WIN.INI és SYSTEM.INI sorokat is.
Kapcsolódó cikkek
- Az adathalászat növekedést, a botok előfordulása csökkenést mutat
- 2005 első negyedév: adathalászat, mobilvírusok, és trójaiak
- McAfee: Új, központilag irányított és ellenőrzött védelem spam-ek és vírusok ellen
- Új McAfee WebShield Appliance tartalommenedzsment megoldás
- Cisco NAC támogatás a Network Associates vírusirtó termékeiben
- A McAfee Security új behatolás-megelőző megoldása
- Network Associates-Check Point: integrált biztonsági megoldás kisvállalkozások számára
- W32/Netsky.s@MM: a legújabb változat is közepesen veszélyes
- Számítógép-vírusok - 22 milliárd dolláros kár a nyugat-európai kiscégeknél
- McAfee AVERT vírus körkép és a legfrissebb TOP 10 lista
Biztonság ROVAT TOVÁBBI HÍREI
Felmérés: a hollandiai szervezetek negyede nincs felkészülve kibertámadásra
Hollandiában a közepes és nagyvállalatok negyede nincs felkészülve egy esetleges kibertámadásra – jelentette hétfőn az NLTimes című holland hírportál a KPN holland távközlési vállalat megrendelésére készült felmérésre hivatkozva, amelyben kiemelik az egészségügyi szektor veszélyeztetettségét is.