Ismét színre lépett az IRCbot féreg

2
Kristóf Csaba
2012. január 12., 09:10
Nyomtatás
Ismét hallatott magáról az IRCbot.K féreg, amely az előző variánsaihoz hasonlóan többnyire cserélhető adattárolókon keresztül juthat fel a számítógépekre.

Az IRCbot féreg legújabb, "K" betűjelű variánsa felépítését és funkcióit tekintve alapvetően megegyezik az eddigi változataival. A féreg ennek megfelelően meglehetősen gyors terjedésre képes, és elsősorban cserélhető adattárolókon keresztül próbál a számítógépek között terjedni.

Az Isidor Biztonsági Központ közleménye szerint az IRCbot.K alapvetően két feladatot lát el. Egyrészt gondoskodik a terjedéséről, másrészt egy hátsó kapu létesítésével segíti a terjesztőit abban, hogy hozzáférhessenek a fertőzött számítógépekhez, és azok felhasználásával különféle károkozásokat hajthassanak végre. A féreg 30 másodpercenként ellenőrzi, hogy a felhasználó csatlakoztatott-e valamilyen írható adattárolót a rendszerhez. Amennyiben új meghajtót észlel, akkor arra felmásolja a saját állományait.

Az IRCbot.K az általa biztosított hátsó kapun keresztül az alábbi feladatok elvégzésére vehető rá:
- parancssori ablak megnyitása
- elosztott szolgáltatásmegtagadási támadásokban való részvétel
- rendszerinformációk kiszivárogtatása
- a féreg frissítése
- a féreg leállítása
- weboldalak letöltése.

Amikor az IRCbot.K féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományt:
%UserProfile%/winusbsmgr.exe

2. A regisztrációs adatbázishoz hozzáfűzi az alábbi értéket:
HKCU/Software/Microsoft/Windows/CurrentVersion/Run/MicrosoftUpdateServices="%UserProfile%/winusbsmgr.exe"

3. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson az érintett rendszeren.

4. Megfertőzi az alábbi folyamatokat:
Regedit.exe
Taskmgr.exe

5. Létrehozza a következő fájlt:
%AppData%/gufuztzvz.txt

6. Harminc másodpercenként ellenőrzi, hogy csatlakoztatott-e a felhasználó cserélhető adattárolót a számítógéphez.

7. Amennyiben igen, akkor az adattárolón létrehoz egy mappát, amelynek nevét véletlenszerűen generált számokból állítja össze.

8. Az általa létrehozott mappába bemásol egy exe kiterjesztésű állományt és egy parancsikont.

9. Csatlakozik egy IRC-szerverhez.

10. Nyit egy hátsó kaput, és várakozik a támadók parancsaira.

 

Címkék:
Nyomtatás
Kapcsolódó hírek
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szerkesztőség és a szolgáltatás üzemeltetője semmilyen felelősséget nem vállal! A moderálási elvekbe ütköző hozzászólásokat szerkesztőségünk bármikor törölheti.

0 hozzászólás

Ehhez a cikkhez még nem érkezett hozzászólás.
ESET Online Vírusirtó
Céginfó hírek (x)

Kiadó
Partnereink
IDG Worldwide

© 1999-2012 IDG Hungary Médiaszolgáltató Kft. Minden jog fenntartva.