Veszélyes jelszókitaláló féreg jelent meg: Deloder

Vírushíradó Vírushíradó, 2003. március 10. 15:32
A Deloder egy olyan Windowsos hálózati gépeket fertőző féreg, amelyiknél jelszó nélküli vagy könnyen kitalálható a választott adminisztrátori jelszó. Ezenkívül kéretlenül telepíti a VNC nevű távmenedzsment alkalmazást is, megnyitva így a gépet a külvilág számára - tájékoztatta lapunkat a Vírushíradó.
A féreg véletlenszerű IP címeket vizsgál, így próbál nyitott 445-ös porttal rendelkező Windowsos gépeket találni. A 445-ös port (Microsoft SMB megosztás TCP/IP segítségével) engedélyezi a kívülállóknak, hogy Windows megosztásokat érhessenek el.

A legtöbb vállalati számítógépen központilag vagy helyben telepített tűzfallal védekeznek, amely képes lezárni ezt a portot. Ám a legtöbb felhasználó láthatónak hagyja ezt a portot és ezzel sebezhetővé válik, ha a helyi adminisztrátori jelszó nem megfelelően erős. Ha a féreg alkalmas gépet talál, megpróbál helyi adminisztrátorként belépni, ehhez könnyen kitalálható, de sajnálatosan elég gyakori jelszóvariációkat használ.

Ha a bejelentkezés sikeres, a féreg különböző indító mappákba másolja be magát (rendszerint INST.EXE néven) és létrehoz egy olyan registry kulcsot is, amellyel a "DVLDR32.EXE" állományt (ez szintén a féreg másolata) minden rendszerindításkor lefuttatja. A gép újraindítása után a féreg további megfertőzhető gépek után kutatni. A féreg elsődleges bináris futtatható állománya egy ASPack módszerrel tömörített programkód, amely végrehajtáskor kibocsát magából két további összetevőt: a "psexec.exe" és a "inst.exe" fájlt. Az INST.EXE ezenkívül további fájlokat hoz létre a rendszerben.

A VNC szervert az alábbi elemek alkotják:

cygwin1.dll

explorer.exe

omnithread_rt.dll

VNCHooks.dll

A gépen keletkezik egy UPX segítségével összetömörített PSEXEC.EXE segédprogram (a sysinternal cégtől) és egy szintén UPX által tömörített RUNDLL32.EXE IRC trójai, amely egy 13 elemű listából véletlenszerűen kiválasztott szerverhez kapcsolódik. A fertőzés mellékhatásaként az is előfordulhat, hogy a korábban megosztott könyvtárakat nem tudjuk többé megosztani.

Kulcsszavak: +legfontosabb vírus

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Gépek is rajthoz állnak a most induló Országos IT Megmérettetésen

2024. október 28. 18:06

Megnyitott a Vatera Galéria, a válogatott műtárgyak új platformja

2024. október 22. 15:25

Egy év alatt 45 milliárd forintot loptak el tőlünk a digitális bűnözők

2024. október 15. 16:51

Idén már ezernél is több résztvevőt várnak a Service Design Day-re

2024. október 7. 09:59