Új féreg fenyegeti a felhasználókat
Geza Papp, 2004. június 3. 21:36
A féreg három módon terjed: fertőzött e-mail csatolt állományaként, az MS Windows LSASS MS03-026 és RPC DCOM MS04-011 sebezhetőségen keresztül, és a helyi (LAN) ill. a fájlmegosztó, fájlcserélő hálózatokon.
A kód részletes elemzése igazolta, hogy a vírusíró "alkotása alapjának" a Mydoom forráskódját használt fel. A féreg egyik jellemzője, hogy megpróbálja megakadályozni a Kaspersky Anti-Vírus adatbázis automatikus frissítését.
A Plexus.a helyi hálózatokon (LAN) és fájlmegosztó, fájlcserélő hálózatokon terjed "igen ötletesen". A fájlcserélő alkalmazásokon keresett vagy sokakat érdeklő alkalmazásokat ajánl fel letöltésre - melyek természetesen a férget tartalmazzák.
Ilyenek pl.:
Fertőz az MS Windows LSASS hiba kihasználásával, melyet először a Sasser tett, és az RPC DCOM rés kihasználásával, melynek történelmi múltja 2003 augusztusára nyúlik vissza, a Lovesan fertőzés hullámra. Hihetetlen, de a Plexus.a talált és fertőzött meg olyan rendszereket, melyeken még ezek a hibák megtalálhatók, mert azok észlelése és a javítófoltok kibocsátása óta nem javították ki a folt installálásával azokat. Nem vagyok senkinek a rosszakarója, de az ilyen felhasználók a fertőzést meg is érdemlik...
A Plexus.a e-mail fertőzése öt féle eddig ismert levéllel történhet. Ezeknél más a fejrész, más a levéltest, más a csatolt állományok kiterjesztése:
Csak egy jellegzetes azonos, a fertőző állomány - mely egy MS Visual C++ -ben írt fájl -, mérete: FSG tömörítésben 16208 byte, tömörítetlen állapotban 57856 byte.
A levelek a következők lehetnek a mai ismeretek szerint:
1.
2.
3.
4.
5.
Fertőzéskor Plexus.a bemásolja magát a Windows\System32 be upu.exe néven. A féreg, hogy biztosítsa futását, aktiválását minden rendszerindításkor, minden gép-rebootnál, a registry autorun kulcsába az alábbi bejegyzést teszi:
A féreg létrehoz egy "identifier 'Expletus' -t" ("hasonmást") a rendszerben, azzal a szándékkal, hogy csak egy féregmásolat fusson a fertőzött gépen. Végül Plexus.a elküldi másolatait e-mailben mindarra a címre, melyet a gép merevlemezeiről gyűjtött össze.
Plexus.a két fontos tulajdonsággal bír:
Az elsőt már említettük, ez azokat a gépeket fenyegeti, melyeken Kaspersky Anti-Vírus rendszer fut, mert megakadályozza az adatbázis automatikus frissítését az alábbi módszerrel: újracímezi azokat a hostokat - átírja nem létező elektronikus címre azoknak a vírusadatbázisoknak a(z elektronikus) címét -, ahonnan a frissítés történhet a "host fájlt" (címet tartalmazó) mappában, a Windows\System32\drivers\etc\hosts a következő nem létező adatokra, címekre (mindegyik a fertőzött saját gépre irányul) mutat:
ezért a felhasználónak kell letölteni az új adatbázist - ha a frissítés elmaradását észreveszi.
A második egy backdoor trójai - hátsóajtó-trójai - tulajdonság, ami szerte a világon minden rendszert fenyeget: a féreg kinyitja a TCP 1250 portot, amely egyrészt egy útvonal kezdeteként szerepelhet, hogy az áldozat gépéről bármilyen állományt feltöltsenek távoli gépekre, másrészt egy olyan út "kapuja lehet", melyen keresztül a rendszer bárki által támadhatóvá válik.
Aki gyanítja, hogy a gépe megfertőződött, a védelmi rendszer automatikus frissítése leállt, azonnal frissítse rendszerét a legújabb adatbázis letöltése segítségével.
Részletek a Kaspersky Lab's vírus enciklopédiájában: (http://www.viruslist.com/eng/viruslist.html?id=1618235)
Kérem, nézzék meg, hogy a vírusvédelmi rendszerük automatikus frissítése működik-e. Amennyiben nem, akkor manuálisan, a legfrissebb adatbázis letöltésével frissítsék azt, de oly módon, hogy az adatbázis-állományt közvetlenül a keresőjük weblapjáról töltsék le. Utána nézzék meg a regisrtryt, hogy a fertőzésre jellemző átírást megtalálják-e. Ha nem, akkor sem dolgoztak hiába. Akik eddig, tavaly augusztus óta nem frissítették gépüket - ne is tegyék - nekik mindegy, ha eddig az volt...
Vírusmentes napot!
A kód részletes elemzése igazolta, hogy a vírusíró "alkotása alapjának" a Mydoom forráskódját használt fel. A féreg egyik jellemzője, hogy megpróbálja megakadályozni a Kaspersky Anti-Vírus adatbázis automatikus frissítését.
A Plexus.a helyi hálózatokon (LAN) és fájlmegosztó, fájlcserélő hálózatokon terjed "igen ötletesen". A fájlcserélő alkalmazásokon keresett vagy sokakat érdeklő alkalmazásokat ajánl fel letöltésre - melyek természetesen a férget tartalmazzák.
Ilyenek pl.:
AVP5.xcrack.exe
hx00def.exe
ICQBomber.exe
InternetOptimizer1.05b.exe
Shrek_2.exe
UnNukeit9xNTICQ04noimageCrk.exe
YahooDBMails.exe
hx00def.exe
ICQBomber.exe
InternetOptimizer1.05b.exe
Shrek_2.exe
UnNukeit9xNTICQ04noimageCrk.exe
YahooDBMails.exe
Fertőz az MS Windows LSASS hiba kihasználásával, melyet először a Sasser tett, és az RPC DCOM rés kihasználásával, melynek történelmi múltja 2003 augusztusára nyúlik vissza, a Lovesan fertőzés hullámra. Hihetetlen, de a Plexus.a talált és fertőzött meg olyan rendszereket, melyeken még ezek a hibák megtalálhatók, mert azok észlelése és a javítófoltok kibocsátása óta nem javították ki a folt installálásával azokat. Nem vagyok senkinek a rosszakarója, de az ilyen felhasználók a fertőzést meg is érdemlik...
A Plexus.a e-mail fertőzése öt féle eddig ismert levéllel történhet. Ezeknél más a fejrész, más a levéltest, más a csatolt állományok kiterjesztése:
htm
html
php
tbb
txt.
html
php
tbb
txt.
Csak egy jellegzetes azonos, a fertőző állomány - mely egy MS Visual C++ -ben írt fájl -, mérete: FSG tömörítésben 16208 byte, tömörítetlen állapotban 57856 byte.
A levelek a következők lehetnek a mai ismeretek szerint:
1.
Fejrész:
RE: order
Levélszöveg:
Hi. Here is the archive with those information, you asked me.
And don't forget, it is strongly confidencial!!! Seya, man. P.S. Don't forget my fee ;)
Csatolt állomány:
SecUNCE.exe
RE: order
Levélszöveg:
Hi. Here is the archive with those information, you asked me.
And don't forget, it is strongly confidencial!!! Seya, man. P.S. Don't forget my fee ;)
Csatolt állomány:
SecUNCE.exe
2.
Fejrész:
For you
For you
Levélszöveg:
Hi, my darling :) Look at my new screensaver. I hope you will enjoy... Your Liza
Csatolt állomány:
AtlantI.exe
Hi, my darling :) Look at my new screensaver. I hope you will enjoy... Your Liza
Csatolt állomány:
AtlantI.exe
3.
Fejrész:
Hi, Mike
Levélszöveg:
My friend gave me this account generator for http://www.pantyola.com I wanna share it with you :) And please do not distribute it. It's private.
Csatolt állomány:
Agen1.03.exe
Hi, Mike
Levélszöveg:
My friend gave me this account generator for http://www.pantyola.com I wanna share it with you :) And please do not distribute it. It's private.
Csatolt állomány:
Agen1.03.exe
4.
Fejrész:
Good offer
Levélszöveg:
Greets! I offer you full base of accounts with passwords of mail server yahoo.com. Here is archive with small part of it. You can see that all information is real. If you want to buy full base, please reply me...
Csatolt állomány:
demo.exe
Good offer
Levélszöveg:
Greets! I offer you full base of accounts with passwords of mail server yahoo.com. Here is archive with small part of it. You can see that all information is real. If you want to buy full base, please reply me...
Csatolt állomány:
demo.exe
5.
Fejrész:
RE:
Levélszöveg:
Hi, Nick. In this archive you can find all those things, you asked me. See you. Steve
Csatolt állomány:
release.exe
RE:
Levélszöveg:
Hi, Nick. In this archive you can find all those things, you asked me. See you. Steve
Csatolt állomány:
release.exe
Fertőzéskor Plexus.a bemásolja magát a Windows\System32 be upu.exe néven. A féreg, hogy biztosítsa futását, aktiválását minden rendszerindításkor, minden gép-rebootnál, a registry autorun kulcsába az alábbi bejegyzést teszi:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvClipRsv"=[path to the executable file - a futtatható féregkódra mutató útvonal]
"NvClipRsv"=[path to the executable file - a futtatható féregkódra mutató útvonal]
A féreg létrehoz egy "identifier 'Expletus' -t" ("hasonmást") a rendszerben, azzal a szándékkal, hogy csak egy féregmásolat fusson a fertőzött gépen. Végül Plexus.a elküldi másolatait e-mailben mindarra a címre, melyet a gép merevlemezeiről gyűjtött össze.
Plexus.a két fontos tulajdonsággal bír:
Az elsőt már említettük, ez azokat a gépeket fenyegeti, melyeken Kaspersky Anti-Vírus rendszer fut, mert megakadályozza az adatbázis automatikus frissítését az alábbi módszerrel: újracímezi azokat a hostokat - átírja nem létező elektronikus címre azoknak a vírusadatbázisoknak a(z elektronikus) címét -, ahonnan a frissítés történhet a "host fájlt" (címet tartalmazó) mappában, a Windows\System32\drivers\etc\hosts a következő nem létező adatokra, címekre (mindegyik a fertőzött saját gépre irányul) mutat:
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads-eu1.kaspersky-labs.com
127.0.0.1 downloads-us1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads-eu1.kaspersky-labs.com
127.0.0.1 downloads-us1.kaspersky-labs.com
ezért a felhasználónak kell letölteni az új adatbázist - ha a frissítés elmaradását észreveszi.
A második egy backdoor trójai - hátsóajtó-trójai - tulajdonság, ami szerte a világon minden rendszert fenyeget: a féreg kinyitja a TCP 1250 portot, amely egyrészt egy útvonal kezdeteként szerepelhet, hogy az áldozat gépéről bármilyen állományt feltöltsenek távoli gépekre, másrészt egy olyan út "kapuja lehet", melyen keresztül a rendszer bárki által támadhatóvá válik.
Aki gyanítja, hogy a gépe megfertőződött, a védelmi rendszer automatikus frissítése leállt, azonnal frissítse rendszerét a legújabb adatbázis letöltése segítségével.
Részletek a Kaspersky Lab's vírus enciklopédiájában: (http://www.viruslist.com/eng/viruslist.html?id=1618235)
Kérem, nézzék meg, hogy a vírusvédelmi rendszerük automatikus frissítése működik-e. Amennyiben nem, akkor manuálisan, a legfrissebb adatbázis letöltésével frissítsék azt, de oly módon, hogy az adatbázis-állományt közvetlenül a keresőjük weblapjáról töltsék le. Utána nézzék meg a regisrtryt, hogy a fertőzésre jellemző átírást megtalálják-e. Ha nem, akkor sem dolgoztak hiába. Akik eddig, tavaly augusztus óta nem frissítették gépüket - ne is tegyék - nekik mindegy, ha eddig az volt...
Vírusmentes napot!
Geza Papp
Networksecurity and Virusanalyst
Networksecurity and Virusanalyst
Kapcsolódó cikkek
- Hangüzenet kíséretében pusztít a BotVoice.A trójai
- A legextrémebb vírusok toplistája
- Az AIDS veszélyeire hívja fel a figyelmet egy új vírus
- Vírust terjeszt a hamis Adobe letöltőoldal
- A Microsoft megváltoztatja az antivírus piacot
- Antivírus-védelem Linuxnak és Unixnak a Kasperskytől
- Az e-mail férgek lassan eltűnnek és átadják helyüket a hálózati férgeknek
- Cabir vírus által fertőzött mobilok már Oroszországban is
- December a magyar Zafi-variánsok hónapja volt
- Kaspersky Anti-Virus: független tesztek igazolják