Hátsó kaput nyit a Surubat féreg
2007. február 9., péntek 06:07, írta: Tárnok Zoltán (s3nki) |
Kedvenceim közé
|
 A Surubat.A féreg elektronikus levelek mellett gyorsan képes terjedni a különböző hálózati megosztásokon keresztül is. |
A Surubat.A féreg alapvetően kétféle módon terjed. Egyrészt összegyűjti a fertőzött számítógépekről az email címeket, amelyekre továbbküldi a saját állományát. Emellett azonban alkalmas a hálózati megosztásokon keresztül történő fertőzésre is.
A Surubat.A legfőbb veszélye, hogy egy hátsó kaput nyit a 6667-es TCP porton, amelyen várja a támadók parancsait. Ők az alábbi műveleteket hajthatják végre:
- fájlok letöltése
- fájlok feltöltése
- fájlok futtatása
- parancssori ablak megnyitása és használata.
Amikor a Surubat.A féreg elindul, akkor az alábbi műveleteket hatja végre:
1. Létrehozza a következő fájlokat:
%ProgramFiles%\MICROSOFT OFFICE\OFFICE\MSOHEV.EXE
%SystemDrive%\PETA_INSTALASI_NUKLIR_ISRAEL.EXE
%Windir%\DATABASE.TXT
%Windir%\Restore\scvhost.exe
%Windir%\Restore\systems.exe
%Windir%\Restore\winamps.exe
%Windir%\Restore\winzip.exe
%Windir%\documents.exe
%Windir%\mmsgs\systema.exe
%Windir%\safemode.exe
%Windir%\taskmanager.exe
2. A Windows System könyvtárában található %System%\MSVBVM60.DLL állományt átnevezi "_MSVBVM60.DLL"-re.
3. Felmásolja a saját állományait az elérhető hálózati megosztásokra.
4. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzést:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVe rsion\Run\"Update" = "%Windir%\Restore\systems.exe"
5. A regisztrációs adatbázisban létrehozza a következő bejegyzést:
HKEY_CURRENT_USER\Identities\[UNIQUE CURRENT USER SUBKEY]\Software\Microsoft\Outlook Express\5.0\Mail\"Warn on Mapi Send" = "0"
6. A regisztrációs adatbázisban módosítja a
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\s rservice\"ImagePath" = "%Windir%\Restore\scvhost.exe" értéket.
7. A fertőzött számítógépekről email címeket gyűjt össze, amelyekre fertőzött leveleket küld:
A fertőzött levelek tárgya lehet:
System Administrator, This is out report of naked isue
A fertőzött levelek mellékletéhez tartozó fájl neve:
Peta_Instalasi_Nuklir_Israel.zip
8. Nyit egy hátsó kaput a 6667-es TCP porton, amelyen keresztül fogadja a támadók parancsait.
9.Megjelenít egy üzenetablakot, amelynek címsorában a "winzip" szó szerepel, míg az üzenete:
"You Have Done Something Which Can Harm Your System
To Prevent From Damage, System Has Been Restart". |
|
|
|
Értékeld te is a hírt! (Az átlagot csak a bejelentkezett felhasználók látják.)
|
Vissza a hírekhez
|
|
Az eddigi hozzászólások:
|
Az ilyen cikkek eddig máshol voltak.
Semmi erdemlegeset nem tud mar itt olvasni az ember.. ilyen fereg olyan fereg.. optikai meghajto az
Xbox360-ba, vizhutes az Xbox360ba... mar honapok ota..
Érdekes a véleményed.
Szösszenetek az Intel VGA-terveiből, Buffalo: apró méretű memóriakártya-olvasó, Fujitsu Siemens
LifeBook P7230, Seagate DAVE: hordozható merevlemez mobilokhoz, Új optikai meghajtó az Xbox 360
konzolokban, Xbox 360 külső kijelzővel, ASUS GeForce 8800 GTX egyedi vízhűtéssel, Thermaltake
hűtőegység GeForce 8800 GTX-hez, iPod Shuffle: új színek, Az Apple azt mondja, ne használj Vistát!,
...és eljövének a négymagos Opteron processzorok, R600 négyféle változatban?, Újabb R6xx
infomorzsák, 16 férőhelyes USB-elosztó, Meizu M8: kínai iPhone
És ez csak az utolsó tizen valahány hír. Nem mondanám egyhangúnak.
Kérlek tedd meg, hogy leírod milyen híreket szeretnél olvasni, megpróbálok neked olyat keresni!
azt bírom, hogy az ilyen hírekből mindig kimarad - félreértés ne essék ezt nem az oldal, ill. a cikk
írójának hibájául rovom fel, ez mindenhol így van sajni - hogy mivel lehet írtani, illetve melyik
vírusírtó birkózik meg vele, vagy az ehhez szükséges fájlt honnan lehet leszedni! :(
Az a helyzet, hogy ezeket a vírusokat minden jobb írtó eltünteti, mert azok frissülnek. Ha nincs
vírusírtód, akkor a legegyszerűbben egy ilyen leírás segítségével tudod kiírtani a vírust, hiszen
látod, hogy mit fertőz meg, milyen fájlokat és hova másol, mit változtat a regisztrációs
adatbázison.
|
|
Hozzászólások és vélemények
|
Csak regisztrált és bejelentkezett tagok szólhatnak hozzá a hírekhez!
Belépéshez kattints ide |
|
|
![HardwareOC.hu [ Informatika Online ]](http://www.hoc.hu/img/he_hoc_logo.gif){kind=logo}
