Gyorsan terjed a Worm.Win32.Opasoft

forrás: Prim Online forrás: Prim Online, 2002. október 2. 17:47
Az Opasoft egy körülbelül 28 KB hosszú Windows PE EXE file. A Kaspersky cég legfrissebb közleménye szerint ez egy olyan hálózati féreg vírus, amely beépített trójai (kémprogram) lehetőségekkel is rendelkezik. A féreg helyi és távoli hálózatokon keresztül is terjed, ehhez a Windows NETBIOS service-t használja.
Amikor a féreg telepíti magát, akkor létrehozza a "scrsvr.exe" nevű állományt a Windows alkönyvtárban és létrehoz egy olyan registry kulcsot, amely ezt minden rendszerindításkor lefuttatja:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

ScrSvr = %worm name%

Az Opasoft ezek után törli az eredeti filet (ahonnan el lett indítva).

A féreg a helyi hálózat IP címeit ellenőrzi, valamint véletlenszerűen választott IP címtartományokat. Ellenőrzéskor adatokat küld a 137-es portra (NETBIOS Name Service). Amennyiben arra válasz érkezik a vizsgált IP címről, a féreg ellenőrizi a kapott adatokat. Ha egy megadott adatot talál a pufferben, a féreg lefuttatja a fertőzési rutinját. A fertőzési rutin meghatározott SMB csomagokat küld erre az IP címre a 139-es portra (NETBIOS Session Service). Ennek eredményeképpen az áldozat gépen két új állomány keletkezik a Windows alkönyvtárában:

\WINDOWS\scrsvr.exe - a féreg másolata

\WINDOWS\win.ini - MS Windows WIN.INI állomány

A WIN.INI állomány olyan utasításokat tartalmaz, amitől a féreg EXE fájlja a gép következő újraindításakor végrehajtódik ("run=" parancs a [windows] részben). A fertőzés eredményességét a C:\TMP.INI állomány létrejötte jelzi a "mester" gépnek.

A trójai rutin elmegy a www.opasoft.com weboldalra és végrehajtja az alábbiakat:

- letölti és lefuttatja a féreg legfrissebb változatát (ha létezik)

- letölti és lefuttatja a weblapon található scripteket

Az újabb féreg változat a "scrupd.exe" néven kerül letöltésre. A fájl ezután lefut, ami végrehajtása során lecseréli a régi férget. A hátsóajtó rész a "ScrSin.dat" és "ScrSout.dat" fájlokat használja futása során, melyeket erős titkosítással kódol el. Mivel a www.opasoft.com webserver már ki van kapcsolva, nem lehetséges több információt szerezni a hátsóajtó-rutin részleteiről.

A féreg arról is gondoskodik, hogy egy gépet ne fertőzzön meg többször. Ehhez készít egy "Windows mutex"-et "ScrSvr31415" néven. A Windows 9x operációs rendszerű gépeket a féreg képes fertőzi , míg a Windows NT-t futtató gépek fertőzése nagyon nem valószínű és majdnem lehetetlen.

Az F-Secure és Kaspersky Anti-Virus programok a 2002. október 2-i adatállományokkal már képesek detektálni.

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Idén is keresi a digitális szakma női példaképeit az IVSZ és a WiTH

2024. november 22. 16:40

Huszadik alkalommal adták át a Hégető Honorka-díjakat

2024. november 21. 16:58

Hosszabbít ’Az Év Honlapja’ pályázat!

2024. november 19. 09:54

Törj be a digitális élvonalba: Nevezz ’Az Év Honlapja’ pályázatra!

2024. november 14. 16:36