Az Ircbrute.B féreg az egyszerű felépítésű és működésű kártékony programok közé tartozik. A féreg ugyanis mindössze két fájlt hoz létre a kiszemelt rendszereken, majd egy ponton módosítja a regisztrációs adatbázist annak érdekében, hogy a Windows minden egyes újraindulásakor automatikusan be tudjon töltődni.
Az Isidor Biztonsági Központ közleménye rávilágít arra, hogy az Ircbrute.B egy hátsó kapu létrehozásával próbálja sérülékennyé tenni a számítógépeket, és azokat kiszolgáltatni a támadásokkal szemben. E tevékenysége során egy dyndns.org alatt regisztrált szerverhez is megpróbál kapcsolódni.
Az Ircbrute.B legtöbbször cserélhető meghajtókon, így például pendrive-okon keresztül terjed.
Amikor az Ircbrute.B féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományokat:
%SystemDrive%\RESTORE\[SID]\Desktop.ini
%SystemDrive%\RESTORE\[SID]\ise32.exe
2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C967120}\"StubPath" = "%SystemDrive%\RESTORE\[SID]\ise32.exe"
3. Minden elérhető, cserélhető meghajtóra felmásolja a saját állományait:
%meghajtó betűjele%\RESTORE\[SID]\Desktop.ini
%meghajtó betűjele%\RESTORE\[SID]\ise32.exe
4.A cserélhető adattárolók gyökérkönyvtárába létrehoz egy autorun.inf nevű állományt.
5. Nyit egy hátsó kaput a 9890-es TCP porton keresztül, majd várakozik a támadók parancsaira.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.