Connect with us

technokrata

W32.HLLW.Lovgate.D@mm – a héten belül már a negyedik változat

Dotkom

W32.HLLW.Lovgate.D@mm – a héten belül már a negyedik változat

A C++ programnyelven írt féreg D változata már nem olyan veszélyes, mint elődjei, pedig működését tekintve nem sokban tér el azoktól.

A fertőzött e-mail paraméterei

Tíz, előre generált sémából választ egyet véletlenszerűen.

Tárgy: Documents
Csatolmány: Docs.exe
Tartalom: Send me your comments…

Tárgy: Roms
Csatolmány: Roms.exe
Tartalom: Test this ROM! IT ROCKS!.

Tárgy: Pr0n!
Csatolmány: Sex.exe
Tartalom: Adult content!!! Use with parental advisory.

Tárgy: Evaluation copy
Csatolmány: Setup.exe
Tartalom: Test it 30 days for free.

Tárgy: Help
Csatolmány: Source.exe
Tartalom: I´m going crazy… please try to find the bug!

Tárgy: Beta
Csatolmány: _SetupB.exe
Tartalom: Send reply if you want to be official beta tester.

Tárgy: Do not release
Csatolmány: Pack.exe
Tartalom: This is the pack 😉

Tárgy: Last Update
Csatolmány: LUPdate.exe
Tartalom: This is the last cumulative update.

Tárgy: The patch
Csatolmány: Patch.exe
Tartalom: I think all will work fine.

Tárgy: Cracks!
Csatolmány: CrkList.exe
Tartalom: Check our list and mail your requests!

A féreg tulajdonságai

Felfedezésének ideje: 2003. február 24.
Utolsó frissítés ideje: 2003. február 25.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP, Microsoft IIS
Nem érintett rendszerek: Windows 3.x, Macintosh, OS/2, UNIX, Linux
Mérete: 41.984 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódásakor bekövetkező események

– Win32vxd.dll néven létrehoz egy jelszótolvaj trójai programot, amely ugyanitt még létrehozhat egyéb file-okat is, melyekben a megszerzett információt tárolja

Windows 9x/Me alatt

– a következő neveken másolja fel magát a System könyvtárba: WinRpcsrv.exe, syshelp.exe, winrpc.exe, WinGate.exe, rpcsrv.exe
– hozzáadja a run=rpcsrv.exe sort a Win.ini állomány [windows] részéhez
– módosítja a HKEY_CLASS_ROOT/txtfile/shell/open/command kulcs default értékét, mégpedig a következőre: winrpc.exe %1
– a 10168-as porton hallgatózik, és e-mailen keresztül értesíti a támadót (a féreg egyébként egy jelszavas azonosítási rendszerrel bír; a megfelelő jelszó bevitele után egy command shell várja a támadót)
– abban a könyvtárban, ahol futtatásra került, illetve a Windows és a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Shell Folders/Personal Registry kulcs bejegyzése által megjelölt könyvtárban ht kezdetű kiterjesztéssel bíró állományok után keres, amennyiben talál, kigyűjti belőlük az e-mailcímeket, majd ezekre továbbítja magát

Windows NT/2k/XP alatt

– bemásolja magát a System könyvtárba ssrv.exe néven
– létrehozza a HKEY_LOCAL_MACHINE/Software/KittyXP.sql/Install Registry kulcsot
– hozzáadja a run rpcsrv.exe bejegyzést a HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows Registry kulcshoz
– amennyiben a féreg felfedezi az LSASS.EXE process működését, létrehoz egy futási szálat, s ennek révén beleviszi saját magát
– elindítja Windows Management Extension service-ként trójai alkotóelemét
– a helyi hálózaton végignézi az összes számítógépet és megpróbál oda bejutni Administrator néven a következő jelszavak felhasználásával:
[üresen hagyott jelszó]
123
321
123456
654321
guest
administrator
admin
111111
666666
888888
abc
abcdef
abcdefg
12345678
abc123
– amennyiben sikerül neki a bejutás, felmásolja magát a távoli számítógépre: /[távoli.számítógép.neve]/admin$/system32/stg.exe – futtatja a fenti file-t Microsoft NetWork Services FireWall service néven



Szólj hozzá!

További Dotkom

Népszerű

Technokrata a Facebookon

IoT-Magazin.hu

Kütyük

Dotkom

Műszaki-Magazin.hu

Hirdetés
Hirdetés