IRC-n keresztül vezérelhető féreg
Kristóf Csaba,
2005. január 25. -
Vírusvédelem
Hír küldése
A W32.Blatic.A féreg egy olyan programot telepít a számítógépekre, amelyet a támadók IRC-n keresztül vezérelhetnek.
A W32.Blatic.A féreg elsősorban hálózati megosztásokon keresztül terjed. A féreg egy hátsó kaput hoz létre, amelyen keresztül a támadók különböző műveleteket hajthatnak végre a fertőzött rendszereken.
Amikor a W32.Blatic.A féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehoz egy "blaaat" mutexet annak érdekében, hogy a féreg csak egy példányban fusson a rendszerben.
2. Bemásolja magát a Windows System könyvtárába iexplor.exe néven.
3. Leellenőrzi, hogy az alábbi bejegyzés megtalálható-e a regisztrációs adatbázisban:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS. Update\"bla" = "[random number]"
Amennyiben ez létezik, akkor a féreg letölt egy fájlt az Internetről, majd lefuttatja azt.
4. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
kulcsához hozzáadja a
"shell" = "explorer.exe iexplor.exe" értéket.
5. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
kulcsához hozzáadja a
"winsockdriver" = "iexplor.exe" értéket.
6. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS. Update
kulcsához hozzáadja a
"bla" = "[véletlenszerű szám]" értéket.
7. A %Windir%\system.ini fájlhoz hozzáfűzi a következő sort:
shell = explorer.exe iexplor.exe
8. $ADMIN hálózati megosztáson keresztül megpróbál tovább terjedni. Ehhez előre meghatározott jelszavakat használ.
9. Nyit egy hátsó kaput a 6667-es TCP porton, amelyen keresztül kapcsolódik egy IRC szerverhez.
Amikor a W32.Blatic.A féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehoz egy "blaaat" mutexet annak érdekében, hogy a féreg csak egy példányban fusson a rendszerben.
2. Bemásolja magát a Windows System könyvtárába iexplor.exe néven.
3. Leellenőrzi, hogy az alábbi bejegyzés megtalálható-e a regisztrációs adatbázisban:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS. Update\"bla" = "[random number]"
Amennyiben ez létezik, akkor a féreg letölt egy fájlt az Internetről, majd lefuttatja azt.
4. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
kulcsához hozzáadja a
"shell" = "explorer.exe iexplor.exe" értéket.
5. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
kulcsához hozzáadja a
"winsockdriver" = "iexplor.exe" értéket.
6. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS. Update
kulcsához hozzáadja a
"bla" = "[véletlenszerű szám]" értéket.
7. A %Windir%\system.ini fájlhoz hozzáfűzi a következő sort:
shell = explorer.exe iexplor.exe
8. $ADMIN hálózati megosztáson keresztül megpróbál tovább terjedni. Ehhez előre meghatározott jelszavakat használ.
9. Nyit egy hátsó kaput a 6667-es TCP porton, amelyen keresztül kapcsolódik egy IRC szerverhez.
Hozzászólások