W32/Dumaru.y@MM: már közepesen veszélyes

forrás Prim Online, 2004. január 27. 08:55
Az AVERT, a Network Associates vírusszakértői csoportja közleménye szerint a W32/Dumaru.y@MM email-féreg veszélyességi besorolását "alacsonyról" "közepesre" növelte.

A saját SMTP motort is tartalmazó W32/Dumaru.y@MM e-mail leveleken keresztül terjed. A megfertőzött rendszereken a .HTM, . HTML, .WAB, .DBX, .TBB és .ABD kiterjesztésű fájlokból gyűjti össze az email címeket, de emellett speciális böngésző funkciók (online banking!) közben a billentyűleütéseket is naplózza. Az így rögzített adatokat egy VXDLOAD.LOG nevű fájlba vezeti be. A fentieken túl a vágólapról is képes adatokat lopni, ezeket pedig egy RUNDLLX.SYS nevű fájlba vezeti be. Naplófájljait a féreg megpróbálja email levélben elküldeni alkotójának, a féregbe "bedrótozott" email címekre.

Amennyiben a megfertőzött gép nem rendelkezik megbízható tűzfalas védelemmel, a féreg a 2283-as és 10000-es portokon várja, hogy készítője vagy egy másik hacker utasításokat adjon számára, például FTP parancsokkal.

A Dumaru.y egy csatolt ZIP fájlban érkezik, melynek tartalma egy olyan állomány, amelyben egy "MYPHOTO.JPG .EXE" fájlt található. A .EXE előtti sok szóköz miatt a tényleges kiterjesztés többnyire észrevétlen marad.

Feladó: (általában hamis cím)

Tárgy: Important information for you. Read it immediately !

Szöveg: Hi!

Here is my photo, that you asked for yesterday.

...

Csatolt állomány: MYPHOTO.ZIP, mérete 17 Kb körül változik

A kibontott állomány lefutásakor a féreg több másolatot is készít magáról a Windows könyvtárába, és a Windows\System32 könyvtárba. Az előbbibe RUNDLLX.SYS, az utóbbiba VXD32V.EXE, illetve L32X.EXE néven. Emellett még a Windows Startup könyvtárába is bemásolja magát DLLXW.EXE néven. Az eredeti csatolmányról is készít egy másolatot a Windowson belül ZIP.TMP néven a TEMP alkönyvtárba.

Windows 9x és NT rendszereken a féreg a Registy-n belül hoz létre program indító bejegyzést a
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

kulcs alatt "load32" néven, és ehhez a "%SysDir%\L32X.EXE" értéket rendeli.

Windows NT/2k/XP rendszereken a

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows T\CurrentVersion\
Winlogon

kulcson belül a "Shell" változó értékét módosítja: Itt "Explorer.exe" helyett az új érték "explorer.exe %SysDir%\VXD32V.EXE" lesz

A W32.Dumaru.y@MM a Registry bejegyzések módosításán túl a WIN.INI és SYSTEM.INI fájlokba is beépíti saját kötelező indítását:

A WIN.INI fájlban a [windows] szekcióban:

"run" = %WinDir%\RUNDLLX.SYS

A SYTEM.INI [boot] szekciójában a "shell = Explorer.exe helyére

"shell" = explorer.exe %SysDir%\VXD32V.EXE

kerül.

A W32/Dumaru.Y@MM férget január 24-én fedezték fel, és az aznap kiadott 4318-as DAT fájl már tartalmazza a vírus felismeréséhez szükséges információt. A felismeréshez és eltávolításhoz a legfrissebb DAT és EXTRA.DAT fájlok már elérhetőek a http://www.networkassociates.com/us/downloads/updates/dat.asp címen.

Kézi eltávolításkor a felismert féregprogramokon kívül törölni kell a féreg által létrehozott egyéb fájlokat is (lásd fentebb), és törölni kell, illetve helyre kell állítani az ismertetőben bemutatott Registry bejegyzéseket, illetve WIN.INI és SYSTEM.INI sorokat is.

Biztonság ROVAT TOVÁBBI HÍREI

Rébuszok helyett kézzelfogható megoldások a NIS2 fejtörőhöz

Nagy érdeklődés övezte a Gábor Dénes Egyetem NIS2 konferenciáját. Ennek egyik oka a téma aktualitása, hiszen a kiberbiztonság szavatolása kötelező törvényi előírás az érintett vállalatok részére. A másik ok, hogy kevés az egész folyamatot átfogó és bemutató esemény, amely nemcsak a NIS2 irányelvben meghatározott jogszabályi előírásokat mutatja be és értelmezi, hanem kézzelfogható, gyakorlati megoldásokat is kínál a vállalatok részére. 

2024. november 22. 11:39

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Huszadik alkalommal adták át a Hégető Honorka-díjakat

2024. november 21. 16:58

Hosszabbít ’Az Év Honlapja’ pályázat!

2024. november 19. 09:54

Törj be a digitális élvonalba: Nevezz ’Az Év Honlapja’ pályázatra!

2024. november 14. 16:36

A virtuális valóság az egészségügyet is forradalmasíthatja

2024. november 12. 18:01