Hétvégi vírusok

Geza Papp, 2005. január 16. 22:06
Ezen a hétvégén két féreg észleléséről írt a Sophos.
Az egyiket tegnap, január 15-én azonosították. Ez a W32/MyDoom-AA, más néven W32/Mydoom.gen@MM hálózati féreg, ami az interneten levélmellékletként, ill. népszerű P2P fájlcserélő hálózatokon terjed, megfertőzve Windows alapú rendszereket. A terjedését tekintve elsősorban mass mailing (spammer) féregnek tekinthető, ami elküldi magát levélmellékletként azokra a címekre, amiket a számítógépen talál, saját SMTP motort használ, bejegyzéseket tez a registrybe, és érdekessége, hogy a károkozó kiirtása után is hagy nem fetőző állományokat a gépen.

Fertőzésekor a W32/MyDoom-AA bemásolja magát a Windows System könyvtárba lsasrv.exe állomány néven, illetve azért, hogy biztos legyen a víruskód futása minden alkalommal, amikor a rendszrt bekapcsolják a regisztrációs adatbázis kulcsaihoz az alábbi bejegyzéseket teszi:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
lsass = &ltsystem>lsasrv.exe
HKLMSoftwareMicrosoftWindows NTCurrentVersionWinLogon
Shell = explorer.exe &ltsystem>lsasrv.exe

A W32/MyDoom-AA által a fertőzött gépekről, az ott talált címekre küldött levelek jellemzői a következők:

Tárgysor:
Do not reply to this email
hello
Mail Delivery System
Good Day
Server Report
Error
Attention!!!
Status
Mail Transaction Failed

Melléklet neve (kiterjesztése lehet: exe, scr, pif, cmd, bat vagy
zip):
message
body
readme
rules
files
document
doc
data
readme

W32/MyDoom-AA megpróbálja bemásolni magát az alábbi népszerű állománycserélő programok megosztott mappáiba:
KaZaa
Morpheus
Edonkey2000
LimeWire

A "hosts file" módosításával lehetetlenné teszi az alábbi weblapok elérését:
www.symantec.com
securityresponse.symantec.com
symantec.com
www.sophos.com
sophos.com
www.mcafee.com
mcafee.com
liveupdate.symantecliveupdate.com
www.viruslist.com
viruslist.com
www.f-secure.com
f-secure.com
kaspersky.com
kaspersky-labs.com
www.avp.com
avp.com
www.kaspersky.com
www.networkassociates.com
networkassociates.com
www.ca.com
ca.com
mast.mcafee.com
www.my-etrust.com
my-etrust.com
download.mcafee.com
dispatch.mcafee.com
secure.nai.com
www.nai.com
nai.com
update.symantec.com
updates.symantec.com
us.mcafee.com
liveupdate.symantec.com
customer.symantec.com
rads.mcafee.com
www.trendmicro.com
trendmicro.com
www.grisoft.com
grisoft.com

W32/MyDoom-AA képes megnyitni a notepad alkalmazást, ez látszik a képernyőn is egy ideig, majd bekerül a "szemetesbe".

Nem fertőző, nem rosszindulatú állományokat tesz hserv.sys és version.ini néven a Windows System mappába.

A másik a január 16-án észlelt W32/Rbot-TQ (Backdoor.Win32.Rbot.gen, W32/Sdbot.worm.gen.w, WORM_RBOT.AFK) hálózati féreg.

A "kiváló kémtulajdonságokkal felruházott" féreg elsősorban megosztott hálózatokon terjed, jellemző rá, hogy hátsóajtó funkciója révén engedi, hogy távoli támadók hatolhassanak a rendszerbe. Ezen túl információkat lop elsősorban a log állományokból - különös tekintettel a gépen lévő alkalmazások elsősorban játékok CD kulcsaira, futtatható állományokat tölt fel a gépre (melyek báármilyen funkcióra képesek lehetnek); Csökkenti a rendszer biztonságát, bejegyzi magát a registrybe ill. kihasználja a rendszerhibákat.

A hátsóajtó trójai tulajdonságát kihasználva kapcsolatot teremt meghatározott IRC csatornákkal, mely kapcsolat háttérfolyamatként fut a gépen. A fertőzöttgépről a felttöltött futtatható alkalmazások segítségével képes más zámítógépeket "floodolni" (hálózati csomagokkal elárasztani)

A W32/Rbot-TQ fertőzéskor bemásolja magát a Windows System mappába msexcel.exe néven, és állandó futását azzal biztosítja, hogy az alábbi bejegyzéseket írja a registry kulcsaihoz:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Microsoft Excel = msexcel.exe

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Microsoft Excel = msexcel.exe

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
Microsoft Excel = msexcel.exe

W32/Rbot-TQ a fentieken túl még az alábbi bejegyzéseket teszi:

HKLMSoftwareMicrosoftOleEnableDCOM = N
HKLMSystemCurrentControlSetControlLsarestrictanonymous = 1

A W32/Rbot-TQ a megosztott hálózatokon a terjedéshez kihasználja a "könnyű jelszavakat" - és a rendszer ki nem javított hibáit, a: RPC DCOM (MS04-012), WebDav (MS03-007) and LSASS (MS04-011) hibákat.

Védekezni megfelelő módon frissülő adatbázisú antvírus programokkal, és "egy kis odafigyeléssel" lehet.

Vírusmentes napot!

Papp Géza dr
Networksecurity and Virusanalyst
Kulcsszavak: Sophos vírus

Biztonság ROVAT TOVÁBBI HÍREI

Rébuszok helyett kézzelfogható megoldások a NIS2 fejtörőhöz

Nagy érdeklődés övezte a Gábor Dénes Egyetem NIS2 konferenciáját. Ennek egyik oka a téma aktualitása, hiszen a kiberbiztonság szavatolása kötelező törvényi előírás az érintett vállalatok részére. A másik ok, hogy kevés az egész folyamatot átfogó és bemutató esemény, amely nemcsak a NIS2 irányelvben meghatározott jogszabályi előírásokat mutatja be és értelmezi, hanem kézzelfogható, gyakorlati megoldásokat is kínál a vállalatok részére. 

2024. november 22. 11:39

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Idén is keresi a digitális szakma női példaképeit az IVSZ és a WiTH

2024. november 22. 16:40

Huszadik alkalommal adták át a Hégető Honorka-díjakat

2024. november 21. 16:58

Hosszabbít ’Az Év Honlapja’ pályázat!

2024. november 19. 09:54

Törj be a digitális élvonalba: Nevezz ’Az Év Honlapja’ pályázatra!

2024. november 14. 16:36