HIRDETÉS
KIEMELT HÍREK
- Két hét alatt csaknem hétszáz új álláshirdetést adott fel a Belügyminisztérium, óriási a tanárhiány
- Jön még pénz Brüsszelből? Megszólalt a miniszter
- Gyárfás Tamás ismét a bíróság előtt: kulcsfontosságú hangfelvételek kerültek terítékre
- Mi történt? Lezuhant egy helikopter a Mount Everest közelében - Senki nem élte túl
- Mutatjuk, melyek lesznek a legfontosabb témák a vilniusi NATO-csúcson
HIRDETÉS
MAGAZINOK > IT > Biztonság > PC-nken titkos kaput nyitó féreg terjed
2005.03.11
t: 2699
PC-nken titkos kaput nyitó féreg terjed
A féreg paraméterei
Felfedezésének ideje: 2005. március 10.
Utolsó frissítés ideje: 2005. március 11.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 26.624 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: könnyű
Aktiválódása esetén lezajló események
- létrehozza önmaga másolatát egy véletlenszerűen generált, 8 karakterből álló névvel, exe kiterjesztéssel a System könyvtárban; néhány példa: TrkWksrv.exe, dxdllsvc.exe, ciclient.exe; illetve a B változat ugyanide TrkWksvc.exe néven kerül be
- a következő Registry kulcsok alapértékét Service-ra változatja:
. HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/SafeBoot/Minimal/[véletlenszerűen létrehozott file-név]
. HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/SafeBoot/Network/[véletlenszerűen létrehozott file-név]
B változat:
. HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SafeBoot/Minimal/TrkWksvc
. HKEY_LOCAL_MACHINESYSTEM/CurrentControlSet/Control/SafeBoot/Network/TrkWksvc
- a B változat létrehozza a Distributed Link Tracking Service nevű service-t, ami minden Windows indítás után elindul
- hozzáadja az alábbi kulcsokat a rendszerleíró adatbázishoz:
. HKEY_LOCAL_MACHINE/System/CurrentControlSet/Enum/Root/LEGACY_[véletlenszerűen létrehozott file-név]
. HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/[véletlenszerűen létrehozott file-név]
- hátsó kaput hoz létre a megtámadott rendszeren, mellyel lehetővé teszi a távoli támadó számára, hogy IRC-csatornán keresztül a következőket véghezvigye:
. billentyűleütések figyelése
. process-ek leállítása
. a gyorsítótárban eltárolt jelszavak, a rendszerinformáció ellopása
. távoli állományok letöltése
- a következő biztonsági rések kihasználása révén szaporodik:
. Windows DCOM RPC Interface Buffer Overrun Vulnerability
. Windows ntdll.dll Buffer Overflow Vulnerability
. SQL Server Web Task Stored Procedure Privilege Escalation Vulnerability
- leellenőrzi, hogy a virtuális számítógépeket készíteni képes VMware megtalálható-e a rendszerben, a HKEY_LOCAL_MACHINE/Software/VMware kulcs megtekintésével; a féreg ugyanis nem fog futni a VMware-rel rendelkező PC-ken
Felfedezésének ideje: 2005. március 10.
Utolsó frissítés ideje: 2005. március 11.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 26.624 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: könnyű
Aktiválódása esetén lezajló események
- létrehozza önmaga másolatát egy véletlenszerűen generált, 8 karakterből álló névvel, exe kiterjesztéssel a System könyvtárban; néhány példa: TrkWksrv.exe, dxdllsvc.exe, ciclient.exe; illetve a B változat ugyanide TrkWksvc.exe néven kerül be
- a következő Registry kulcsok alapértékét Service-ra változatja:
. HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/SafeBoot/Minimal/[véletlenszerűen létrehozott file-név]
. HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/SafeBoot/Network/[véletlenszerűen létrehozott file-név]
B változat:
. HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SafeBoot/Minimal/TrkWksvc
. HKEY_LOCAL_MACHINESYSTEM/CurrentControlSet/Control/SafeBoot/Network/TrkWksvc
- a B változat létrehozza a Distributed Link Tracking Service nevű service-t, ami minden Windows indítás után elindul
- hozzáadja az alábbi kulcsokat a rendszerleíró adatbázishoz:
. HKEY_LOCAL_MACHINE/System/CurrentControlSet/Enum/Root/LEGACY_[véletlenszerűen létrehozott file-név]
. HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/[véletlenszerűen létrehozott file-név]
- hátsó kaput hoz létre a megtámadott rendszeren, mellyel lehetővé teszi a távoli támadó számára, hogy IRC-csatornán keresztül a következőket véghezvigye:
. billentyűleütések figyelése
. process-ek leállítása
. a gyorsítótárban eltárolt jelszavak, a rendszerinformáció ellopása
. távoli állományok letöltése
- a következő biztonsági rések kihasználása révén szaporodik:
. Windows DCOM RPC Interface Buffer Overrun Vulnerability
. Windows ntdll.dll Buffer Overflow Vulnerability
. SQL Server Web Task Stored Procedure Privilege Escalation Vulnerability
- leellenőrzi, hogy a virtuális számítógépeket készíteni képes VMware megtalálható-e a rendszerben, a HKEY_LOCAL_MACHINE/Software/VMware kulcs megtekintésével; a féreg ugyanis nem fog futni a VMware-rel rendelkező PC-ken
2005.03.11
Legfrissebb magazinok
- A legtutibb balatoni éttermek
- Hetente frissül majd az Office
- Telefonszámokat lop a Facebook
- Rajtol a Tour de dopping
- Szúnyogriasztó és napvédő krém házilag
- Gyümölcsös ínyencségek - 4 szuper recept
- RIPORT MÓNIKÁVAL AZ EROTIKA VILÁGÁBÓL!
- ZTE V889M - kétélű penge
- Újabb csatát nyert a Samsung: betilthatnak néhány iPhone-t
- Viszi az árvíz a motort?
HIRDETÉS
TOVÁBBI HÍREINK
- Ezeken a magyar településeken már készülhetnek az ivóvízhiányra
- Fokozódik a konfliktus: tűzharc tört ki a Wagner-csoport és az orosz légierő között, már három helikoptert lelőttek
- Putyin beszédet intézett népéhez a a Wagner-csoport lázadása után: „Az ilyen fenyegetésre keményen fogunk reagálni”
- Lázadás tört ki Oroszországban: a Wagner zsoldoscsoport elfoglalt egy orosz várost, Putyin hamarosan beszédet mond
- Olyan vihar jöhet, ami ellen az esernyő nem elég
- Ők öten vesztek hullámsírba a Titan fedélzetén
- Az Európai Parlament megszavazta: Magyarország alkalmatlan az uniós elnökségre
- Aligha most robban föl a Balkán puskaporos hordója
- Putyin arra játszik, hogy legyen ürügye az első nukleáris csapásra
- Novák Katalin a kórházban indította a reggelt
HIRDETÉS
