A Waledac családhoz tartozó férgek már korábban bebizonyították, hogy komolyan számolni kell velük, ugyanis nagy megbízhatósággal képesek ellátni a feladataikat. A legújabb variánsuk amellett, hogy spammelésből veszi ki a részét, képes kiszolgáltatottá tenni a fertőzött rendszereket. A Waledac.C a számítógépeken különféle formátumú állományokat vizsgál át annak érdekében, hogy minél több e-mail címre tegyen szert. Amennyiben az összes számára érdekes fájlt átkutatta, a terjesztői utasításainak alapján elkezd kéretlen elektronikus leveleket kiküldeni.
Az Isidor Biztonsági Központ közleménye kitér arra, hogy a Waledac.C egy WinPcap szolgáltatásnak álcázza magát a PC-ken, amelyeken egy hátsó kaput létesít. Ezen keresztül vezérelhetővé válik, és többek között a spammelési tevékenysége is szabályozható lesz. Azonban ezzel nem fejeződik be a féreg ténykedése, ugyanis folyamatosan figyelemmel kíséri a hálózati adatforgalmat annak érdekében, hogy FTP-szerverekhez tartozó felhasználóneveket és jelszavakat tudjon összegyűjteni, majd kiszivárogtatni.
Amikor a Waledac.C féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományokat:
%System%/Packet.dll
%System%/drivers/npf.sys
%System%/wpcap.dll
2. A regisztrációs adatbázishoz hozzáfűzi az alábbi értéket:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/"MozillaAgent" = "%CurrentFolder%/[a féreg fájlneve].exe"
3. A regisztrációs adatbázishoz hozzáadja a következő bejegyzéseket:
HKEY_CURRENT_USER/Software/Mozilla/"AppID" = "[véletlenszerű karakterek]"
HKEY_CURRENT_USER/Software/Mozilla/"ID" = "[véletlenszerű karakterek]"
HKEY_CURRENT_USER/Software/Mozilla/"ID2" = "[...]"
HKEY_CURRENT_USER/Software/Mozilla/"ID3" = "[...]"
4. Létrehoz egy windows-os szolgáltatást WinPcap Packet Driver (NPF) néven.
5. A regisztrációs adatbázisba beszúrja a következő kulcsot:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NPF
6. Nyit egy hátsó kaput a 80-as TCP porton keresztül.
7. Távoli szerverekről különböző programokat tölt le, illetve indít el.
8. Bizalmas adatokat gyűjt össze, amelyeket e-mailben juttat el a terjesztői számára.
9. E-mail címeket gyűjt össze különböző kiterjesztésű állományok átvizsgálásával.
10. A megszerzett e-mail címek alapján spammelésbe kezd.
11. Folyamatosan monitorozza a hálózati adatforgalmat.
12. A hálózati adatforgalomból FTP-szerverekhez tartozó felhasználóneveket és jelszavakat gyűjt ki.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.