Connect with us

technokrata

W32.Kwbot.F.Worm – játékok töréseinek, szoftverek új verzióinak álcázott féreg

Dotkom

W32.Kwbot.F.Worm – játékok töréseinek, szoftverek új verzióinak álcázott féreg

Trójai program és féregvírus egyben: ez a Kwbot F variánsa.

A féreg tulajdonságai

Felfedezésének ideje: 2003. április 7.
Utolsó frissítés ideje: 2003. április 7.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, OS/2, UNIX, Linux
Mérete: 102.200 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódásakor bekövetkező események

– felmásolja magát a System könyvtárba Xms32.exe néven, rejtett attributummal
– ugyanitt létrehozza az Xms32.tmp.exe nevű állományt, mely tulajdonképpen a Backdoor.Sdbot trójai program
– létrehozza a Windows könyvtárban az sCache32 könyvtárat, amelybe különböző, figyelemfelkeltő neveken felmásolja magát
– hozzáadja a Dir? 012345:=[Windows elérési útvonala]/sCache32 és a DisableSharing=0 bejegyzéseket a következő Registry kulcsokhoz:
. HKEY_CURRENT_USER/Software/Kazaa/LocalContent
. HKEY_CURRENT_USER/Software/iMesh/Client/LocalContent

Trójai rész működése

– bemásolja magát a System könyvtárba System32.exe néven
– létrehozza a Shell=Explorer.exe [System elérési útvonala]/System32.exe bejegyzést a
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon Registry kulcsban
– a 6667-es porton keresztül csatlakozik egy IRC szerverhez és magánüzenetben értesíti a hackert a fertőzés sikeréről
– parancsra vár, melyek az IRC-n keresztül érkeznek a hackertől

A trójai kínálta lehetőségek

– rendszer- és hálózati információk megszerzése (felhasználói nevek, jelszavak stb.)
– a trójai telepítésének menedzselése
– file-ok letöltése és futtatása
– DoS támadás végrehajtása
– szaporodás Kazaa-n és iMesh-en keresztül



Szólj hozzá!

További Dotkom

Népszerű

Technokrata a Facebookon

IoT-Magazin.hu

Kütyük

Dotkom

Műszaki-Magazin.hu

Hirdetés
Hirdetés