Connect with us

technokrata

DoS-támadást indít a Netsky Z változata

Dotkom

DoS-támadást indít a Netsky Z változata

Elfogytak az angol ABC betűi az egyes Netsky variánsok jelölésére, már annyi különböző változat érkezett a féregből. Ez azonban valószínűleg nem fogja visszatartani a féreg íróit az újabb kártevők létrehozásától.

A fertőzött e-mail jellemzői

Feladó: hamis e-mailcím

Tárgy: a következők egyike:
. Hello
. Hi
. Important
. Important bill!
. Important data!
. Important details!
. Important document!
. Important informations!
. Important notice!
. Important textfile!
. Important!
. Information

Csatolmány: vagy egy ZIP kiterjesztésű vagy egy .txt.exe kiterjesztésű file-t tartalmazhat az e-mail:
. Bill.zip
. Data.zip
. Details.zip
. Important.zip
. Informations.zip
. Notice.zip
. Part-2.zip
. Textfile.zip

. Bill.txt (sok szóköz) .exe
. Data.txt (sok szóköz) .exe
. Details.txt (sok szóköz) .exe
. Important.txt (sok szóköz) .exe
. Informations.txt (sok szóköz) .exe
. Notice.txt (sok szóköz) .exe
. Part-2.txt (sok szóköz) .exe
. Textfile.txt (sok szóköz) .exe

A féreg paraméterei

Felfedezésének ideje: 2004. április 21.
Utolsó frissítés ideje: 2004. április 22.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 22.016 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– bemásolja magát a Windows könyvtárba Jammer2nd.exe néven
– ugyanitt létrehoz két ZIP állományt (PK_ZIP_ALG.LOG, PK_ZIP[egy egész szám].LOG), melyek a férget tartalmazzák
– hozzáadja a Jammer2nd=[Windows elérési útvonala]/JAMMER2ND.EXE bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– létrehozza a (S)(k)(y)(N)(e)(t) ˝nevű˝ mutexet, megakadályozandó a memóriába való többszöri betöltődését
– a 665-ös TCP porton hallgatózik, s amennyiben a támadó EXE file-t küld, lefuttatja
– amennyiben a rendszerdátum 2004. május 2-a és 5-e közé esik, a féreg DoS-támadást kísérel meg a következő weboldalakkal szemben:
. www.nibis.de
. www.medinfo.ufl.edu
. www.educa.ch
– felméri a rendszerben található merevlemez(ek)en azokat az állományokat, melyekben e-mailcímekre bukkanhat; ezután ki is gyűjti ezeket az eléréseket
– saját SMTP-motorja révén továbbítja magát a fent említett módon összegyűjtött címekre és a jamainlbbbsdef@yahoo.com e-mailcímre
– önmaga elküldésére az alapértelmezett DNS szervert használja fel, hogy megszerezze az e-mailszerver IP-címét; amennyiben ez nem sikerülne, a benne előre eltárolt címek valamelyikét próbálja ki



Szólj hozzá!

További Dotkom

Népszerű

Technokrata a Facebookon

IoT-Magazin.hu

Kütyük

Dotkom

Műszaki-Magazin.hu

Hirdetés
Hirdetés