Frissítetlen Windowsokat támad az Aizu féreg
Kristóf Csaba,
2005. december 18. -
Vírusvédelem
Hír küldése
Az Aizu.G féreg elsősorban azokra a Windows operációs rendszert futtató számítógépekre jelent veszélyt, amelyek nem tartalmazzák a Microsoft különböző hibajavításait.
Az Aizu.G féreg két olyan biztonsági hibát igyekszik kihasználni, amelyeket a Microsoft már régen kijavított. Így a féreg azokra a számítógépekre jelent veszélyt, amelyek nem tartalmazzák az MS03-039-es és az MS04-011-es biztonsági közleményhez tartozó frissítéseket. Az Aizu.G a 445-ös TCP porton keresztül próbál terjedni. A fertőzött számítógépeken módosítja a Windows tűzfalának beállításait, és különböző fájlokat is letölt az Internetről.
Amikor az Aizu.G féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Bemásolja magát a Windows System könyvtárába aux32.exe néven.
2. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
kulcsához hozzáadja az
"auxAudioDevice" = "%System%\aux32.exe" értéket.
3. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters
\FirewallPolicy\StandardProfile\AuthorizedApplications\List
kulcsához hozzáadja a
"%System%\aux32.exe" = "%System%\aux32.exe:*:Enabled:aux32.exe" értéket.
4. Hálózati megosztásokon keresztül megpróbál további számítógépeket megfertőzni. A terjedéséhez igyekszik kihasználni az MS03-039-es és az MS04-011-es biztonsági közleményekben ismertetett sebezhetőségeket is.
5. Előre meghatározott weboldalakról letölt egy fájlt. A letöltött állományt a C meghajtó gyökér könyvtárába menti el zu.exe néven.
6. FTP segítségével különböző programokat tölt le, majd azokat lefuttatja.
Amikor az Aizu.G féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Bemásolja magát a Windows System könyvtárába aux32.exe néven.
2. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
kulcsához hozzáadja az
"auxAudioDevice" = "%System%\aux32.exe" értéket.
3. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters
\FirewallPolicy\StandardProfile\AuthorizedApplications\List
kulcsához hozzáadja a
"%System%\aux32.exe" = "%System%\aux32.exe:*:Enabled:aux32.exe" értéket.
4. Hálózati megosztásokon keresztül megpróbál további számítógépeket megfertőzni. A terjedéséhez igyekszik kihasználni az MS03-039-es és az MS04-011-es biztonsági közleményekben ismertetett sebezhetőségeket is.
5. Előre meghatározott weboldalakról letölt egy fájlt. A letöltött állományt a C meghajtó gyökér könyvtárába menti el zu.exe néven.
6. FTP segítségével különböző programokat tölt le, majd azokat lefuttatja.
Hozzászólások