Trükkösen támad az Arpiframe féreg
Kristóf Csaba,
2007. június 14. -
Vírusvédelem
Hír küldése
Az Arpiframe féreg egy nem túl szokványosnak mondható terjedési formát választott, ugyanis a HTTP adatforgalom módosításával igyekszik weboldalakon keresztül minél több számítógépet megfertőzni.
Az Arpiframe féreg számos fájlt hoz létre a fertőzött rendszereken, majd a háttérben különböző windowsos komponenseket telepít. Ezt követően feltérképezi a helyi hálózaton elérhető számítógépeket. A kártevő a 192.168.1.x IP címtartományba képes megkeresni az áldozatait.
Az Arpiframe - a helyi hálózatokon - weboldalakon keresztül terjed, de mindezt nem szokványos módon teszi. A féreg ugyanis megpróbálja megváltoztatni a HTTP adatforgalmat, és abba IFRAME kódokat elhelyezni. Amennyiben ez sikerül, akkor minden olyan PC-t képes megfertőzni, amelyeken a felhasználók weboldalakat tekintenek meg.
A kártékony program a fertőzött számítógépekre további kártékony programokat tölt le az Interneten keresztül, és egy Drom férget is telepít.
Amikor az Arpiframe féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%System%\wuclmi.exe
%System%\sevices.exe
%System%\wincfg.exe
%System%\capinstall.exe
2. A háttérben lefuttatja a capinstall.exe fájlt, amelynek révén feltelepíti a WinPCap komponenseit. Ez további fájlokat hoz létre:
%System%\daemon_mgm.exe
%System%\NetMonInstaller.exe
%System%\npf_mgm.exe
%System%\rpcapd.exe
%System%\wpcap.dll
%System%\Packet.dll
%System%\pthreadVC.dll
%System%\WanPacket.dll
%System%\drivers\npf.sys
3. A féreg megvárja a telepítés végét, majd letörli a %System%\capinstall.exe állományt.
4. Feltérképezi a helyi hálózaton elérhető, 192.168.1.x IP címtartományba található számítógépeket, majd ARP-poisoning támadásokat indít. A HTTP adatforgalomba kártékony IFRAME kódokat illeszt be.
5. Az IFRAME kódok minden olyan helyi hálózaton lévő számítógépre rákerülnek, amelyekről webodalakat töltenek le a felhasználók.
6. A féreg egy Internet Explorer sebezhetőséget kihasználó kódot tölt le az Interneten keresztül.
7. Interneten keresztül további kártékony programokat tölt le, és egy Drom férget is telepít a fertőzött számítógépekre.
Az Arpiframe - a helyi hálózatokon - weboldalakon keresztül terjed, de mindezt nem szokványos módon teszi. A féreg ugyanis megpróbálja megváltoztatni a HTTP adatforgalmat, és abba IFRAME kódokat elhelyezni. Amennyiben ez sikerül, akkor minden olyan PC-t képes megfertőzni, amelyeken a felhasználók weboldalakat tekintenek meg.
A kártékony program a fertőzött számítógépekre további kártékony programokat tölt le az Interneten keresztül, és egy Drom férget is telepít.
Amikor az Arpiframe féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%System%\wuclmi.exe
%System%\sevices.exe
%System%\wincfg.exe
%System%\capinstall.exe
2. A háttérben lefuttatja a capinstall.exe fájlt, amelynek révén feltelepíti a WinPCap komponenseit. Ez további fájlokat hoz létre:
%System%\daemon_mgm.exe
%System%\NetMonInstaller.exe
%System%\npf_mgm.exe
%System%\rpcapd.exe
%System%\wpcap.dll
%System%\Packet.dll
%System%\pthreadVC.dll
%System%\WanPacket.dll
%System%\drivers\npf.sys
3. A féreg megvárja a telepítés végét, majd letörli a %System%\capinstall.exe állományt.
4. Feltérképezi a helyi hálózaton elérhető, 192.168.1.x IP címtartományba található számítógépeket, majd ARP-poisoning támadásokat indít. A HTTP adatforgalomba kártékony IFRAME kódokat illeszt be.
5. Az IFRAME kódok minden olyan helyi hálózaton lévő számítógépre rákerülnek, amelyekről webodalakat töltenek le a felhasználók.
6. A féreg egy Internet Explorer sebezhetőséget kihasználó kódot tölt le az Interneten keresztül.
7. Interneten keresztül további kártékony programokat tölt le, és egy Drom férget is telepít a fertőzött számítógépekre.
Hozzászólások