Doomjuice: 2. fokozatba lépett a vírusriasztás
A Doomjuice hálózati féreg, február 9-én éjjel identifikálták. Az eddigi elemzések szerint a féreg kihasználja a Mydoom.A - val fertőzött gépek hátsóajtóit, és így terjed. E-mail terhedést a szakértők nem várnak. A féreg programot úgy írták meg, hogy szinte azonnal DDoS támadást indít a www.microsoft.com ellen.
ALIAS: Mydoom.C, Worm.Win32.Doomjuice, W32.HLLW.Doomjuice,
WORM_DOOMJUICE.A, W32/Doomjuice.worm
méret: 36,864
http://www.f-secure.com/weblog/
- itt jól látható
Hálózati terjedése, mint
jeleztük levéllel nem várható, csak a nyitott TCP 3124 portokon keresztül. Ma
adott ki egy hibajavítót a MS http://www.microsoft.com/technet/security/bulletin/MS04-007.asp
A Doomjuise jellemzője még, hogy gyors kapcsolatokat keres nem javított fertőzött
gépekkel, ahova bejutva azonnal DDoS -t indít. A másik érdekessége, hogy "talán
védve íróit" a Mydoom forráskódját "szórja szét", és helyezi különböző
mappákba. Fertőzéskor bemásolja magát a Windows System könyvtárba
'intrenat.exe' néven, és a regisztrációs adatbázisban változtat az alábbi
kulcsokon:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Gremlin
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Gremlin
Distributed Denial-of-Service
Attack
Február 8-án kezdi a
támadásokat. Melyek 2 - 6 sec. Ideig tartanak az MS ellen.
W32/Deadhat-A
Aliases
Win32.Vesser.A,
W32.HLLW.Deadhat, Vesser, W32/Vesser.worm.a
Szintén a Mydoom által fertőzött
gépeket támadja, de a fájlokban tett kár várhatóan jelentősebb lesz, mint a
DDoS.
Debuggolja az alábbiakat:
C:\boot.ini
C:\autoexec.bat
C:\config.sys
C:\Windows\win.ini
C:\Windows\system.ini
C:\Windows\wininit.ini
C:\Winnt\win.ini
C:\Winnt\system.ini
C:\Winnt\wininit.ini.
In order to run automatically
when Windows starts up the worm copies
itself to the file sms.exe in
the Windows system folder and adds the registry entry
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\KernelFaultChk
pointing to the worm binary.
When executed the worm may
display a message box:
"Error executing
program!"
The worm copies itself to the
shared folder of an existing Soulseek installation using the following
filenames:
WinXPKeyGen.exe
Windows2003Keygen.exe
mIRC.v6.12.Keygen.exe
Norton.All.Products.KeyMkr.exe
F-Secure.Antivirus.Keymkr.exe
FlashFXP.v2.1.FINAL.Crack.exe
SecureCRTPatch.exe
TweakXPProKeyGenerator.exe
FRUITYLOOPS.SPYWIRE.FIX.EXE
ALL.SERIALS.COLLECTION.2003-2004.EXE
WinRescue.XP.v1.08.14.exe
GoldenHawk.CDRWin.v3.9E.Incl.Keygen.exe
BlindWrite.Suite.v4.5.2.Serial.Generator.exe
Serv-U.allversions.keymaker.exe
WinZip.exe
WinRar.exe
WinAmp5.Crack.exe.
W32/Deadhat-A also attempts
to terminate the following security and anti-virus related processes:
_avp
kfp4gui
kfp4ss
zonealarm
Azonealarm
avwupd32
avwin95
avsched32
avnt
avkserv
avgw
avgctrl
avgcc32
ave32
avconsol
apvxdwin
ackwin32
blackice
blackd
dv95
espwatch
esafe
efinet32
ecengine
f-stopw
fp-win
f-prot95
f-prot
fprot
f-agnt95
gibe
iomon98
iface
icsupp
icssuppnt
icmoon
icmon
icloadnt
icload95
ibmavsp
ibmasn
iamserv
iamapp
kpfw32
nvc95
nupgrade
nupdate
normist
nmain
nisum
navw
navsched
navnt
navlu32
navapw32
zapro.
W32/Deadhat-A listens on TCP
port 2766. The port may be used to receive
and run file in the temporary
folder.
W32/Deadhat-A also has an IRC
backdoor component. The worm attempts to connect to one of a list of IRC servers
and receives commands that allow a remote attacker control over the infected
computer.
W32/Deadhat-A scans network
address ranges for ports opened by the W32/MyDoom-A. The worm generates IP
addresses of the format a.b.c.d where d is taken from an internal list, c is a
random number and the values for a and b are enumerated consecutively starting
from 0. If an open port is found, W32/Deadhat-A attempts to copy itself to the
remote machine.
Kapcsolódó cikkek
- A biztonsági cégek is tehetetlenek lesznek...
- Sms-ben lopja el az adatokat egy új trójai
- Vírusjárványok helyett zsaroló hackerek
- A biztonságspecialisták feltörhetetlen zsarolóvírusokat jósolnak
- Észt hackerek német bankügyfelek számláit csapolták meg
- Adathalászok célkeresztjében a Paypal-felhasználók
- Elfogták a Zotob féreg alkotóit
- Az FBI is nyomoz az identitástolvaj Spyware ügyében
- Gazdasági információszerzés áll a trójai-támadások mögött
- Egy "Nokia-rajongó" közzétette a Lasco.A mobilféreg forráskódját az interneten
Biztonság ROVAT TOVÁBBI HÍREI
Felmérés: a hollandiai szervezetek negyede nincs felkészülve kibertámadásra
Hollandiában a közepes és nagyvállalatok negyede nincs felkészülve egy esetleges kibertámadásra – jelentette hétfőn az NLTimes című holland hírportál a KPN holland távközlési vállalat megrendelésére készült felmérésre hivatkozva, amelyben kiemelik az egészségügyi szektor veszélyeztetettségét is.