Sebezhető PC-ket támad az IRCBot

Kristóf Csaba, 2008. március 17. - Vírusvédelem

Computerworld címkék: féreg, trójai, vírusadatbázis

Hír küldése

Ajánlom ismerősömnek Nyomtatás Startlaphoz adom

Az IRCBot.DCN féreg különféle sebezhetőségeket kihasználva, meglehetősen gyorsan képes terjedni.

Az IRCBot.DCN féreg mindössze egy fájlt hoz létre a kiszemelt számítógépeken. Ez azonban bőségesen elég ahhoz, hogy a regisztrációs adatbázis módosítása után egy hátsó kaput nyisson a fertőzött rendszereken. A féreg ezzel biztosítja a támadók számára, hogy átvehessék az érintett PC-k feletti irányítást, és azokon különböző műveleteket hajtsanak végre.

Az IRCBot.DCN a tevékenysége során IRC eszközöket is felhasznál, emellett különféle sérülékenységeket igyekszik a saját javára fordítani. Így olyan biztonsági réseket is kihasznál, amelyek a Windows operációs rendszereket, illetve a Microsoft SQL Servert érintik.

Amikor az IRCBot.DCN féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlt:
%System%\wbem\rpchost.exe

2. Módosítja a következő állományt, amelynek révén megnöveli az engedélyezett TCP/IP kapcsolatok számát:
%System%\drivers\tcpip.sys

3. A regisztrációs adatbázisban létrehozza az alábbi bejegyzéseket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Generic Host Process for Win32 Service" = "%System%\wbem\rpchost.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices\"Generic Host Process for Win32 Service" = "%System%\wbem\rpchost.exe"
HKEY_CURRENT_USER\Software\Microsoft\OLE\"Generic Host Process for Win32 Service" = "%System%\wbem\rpchost.exe"
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa\"Generic Host Process for Win32 Service" = "%System%\wbem\rpchost.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"%System%\wbem\rpchost.exe" = "%System%\wbem\rpchost.exe:*:Enabled:Generic Host Process for Win32 Service"

4. Kapcsolódik egy IRC szerverhez a 7654-es porton keresztül.

5. Nyit egy hátsó kaput, amelyen keresztül a támadók átvehetik a fertőzött rendszerek feletti irányítást.

6. Letölt egy kártékony fájlt az Interneten keresztül.

7. Megpróbál olyan sebezhetőségeket kihasználni, amelyek a Windows operációs rendszereket valamint a Microsoft SQL Servert érintik.

Kapcsolódó hírek

Hozzászólások (3 db)

Hozzászólások

János 1

Sajnos engem is megtámadott egy Win32/IRCBot.ADX trójai nevü rondaság. Bár NOD32 védelem van agépemen, igaz pont ez a vírusírtó jelzi a támadást, minden gép inditáskor. Ilyenkor minden esetben a felajánlott lehetõség szerint karanténba helyezem ill. megszakítom. Megjegyzem ha hálozati kapcsolat nélkül inditom a gépet akkor nem riaszt a NOD32 Mit tehetnék a végleges eltávolitás érdekében? Ha valaki tudja a választ elöre is köszönöm.

2008. március 21. 23:30

csabika 2

kell vírusirtó

2008. március 31. 14:39

János 3

Melyik?

2008. április 2. 11:17

Gyorssegély

Antispyware: Ad-Aware | Spybot-S&D | Spy Sweeper | Spyware Terminator

Tűzfal: Comodo | Outpost | Sunbelt | ZoneAlarm

Mentés: Cobian Backup

0.Nap

BalaBit IT Security Blog

Karrier

Computerworld hírek

Szponzorált linkek:

Terjessze és lapozza céges anyagait online Alakítsa át nyomtatott termékkatalógusát, prospektusát, prezentációját... Eredetivel azonos megjelenés, szabadszavas keresés,
Google által felismerheto tartalom, aktív linkek, nyomtatás, stb.

CégMátrix szolgáltatás- és termékkereső portál Itt megtalálja a keresett terméket, szolgáltatást, márkát, céget - cégadatokkal: név, cím, telefon, fax, web, nyitva tartás. WAP-on is! Erdélyben:Erdélyi Céginfó

*LOGalyze, SOPHOS, Juniper és Websense a ZURIEL-től!* Naplóinfrastruktúra, logelemzés, hálózati határvédelem, és minden ami IT üzemeltetés egy igazi specialistától. ZURIEL - A szürke eminenciás

kiadó | impresszum | hirdetési ajánlatunk | adatvédelmi elveink

IDG Worldwide: computerwoche.de | computerwelt.at | computerworld.ch | computerworld.ro