Föoldal

Partnereink:


Windowsos biztonsági résen keresztül támad a Mancsyn féreg

A Mancsyn féreg egy windowsos sebezhetőséget kihasználva igyekszik minél több számítógépet megfertőzni, majd azokon kártékony műveleteket elvégezni.

A Mancsyn féreg elsősorban a 445-ös porton keresztül igyekszik terjedni, miközben egy windowsos sérülékenységet is megpróbál kihasználni. Amint sikerül ily módon rákerülnie egy PC-re, akkor azon létrehoz néhány fájlt, majd módosítja a regisztrációs adatbázist. Ezt követően távoli szerverekhez kapcsolódik, amelyekről kártékony fájlokat tölt le a fertőzött számítógépekre.

A Mancsyn féreg további veszélye, hogy a Windows System32 rendszerkönyvtárából is töröl fájlokat.

Amikor a Mancsyn féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\mmedia.exe
C:\\WINDOWS\\system32\\rasman32.exe
C:\\Documents and Settings\\Default User\\Local Settings\\Temp\\filex.exe

2. Letörli az alábbi állományokat, amennyiben azok léteznek:
C:\\WINDOWS\\system32\\acrmon32.exe
C:\\WINDOWS\\system32\\acroup.exe
C:\\WINDOWS\\system32\\acroup32.exe
C:\\WINDOWS\\system32\\cvrss.exe
C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\Task Manager.exe
C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\taskman.exe

3. A regisztrációs adatbázisban létrehozza a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\"Default" = "C:\\WINDOWS\\system32\\rasman32.exe[véletlenszerű karakterek]"
HKEY_CURRENT_USER\\Software\\cvc\\"dl" = "[http://]dl01.bashchelik.com/dcv[...]"

4. A regisztrációs adatbázisból kitörli a következő kulcsokat:
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\ATI
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\Acrobat
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\Acrobat Update
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\Acrobat Read

5. Létrehoz két mutexet.

6. Letölt néhány weboldalt, illetve állományt.

7. Távoli szerverekhez kapcsolódik, amelyekről letölt egy állományt. Ezt a következők szerint menti el:
C:\\Documents and Settings\\Default User\\Local Settings\\Temp\\filex.exe

8. A 445-ös porton keresztül - egy Windows DCOM hibát kihasználva - megpróbál további számítógépeket megfertőzni.

A hír megjelenését a biztonságportál támogatta.

 

 
Kapcsolodó cikkek, tesztek:
Hírek

RSS HIREK | Média ajánlat | Site térkép | Rólunk | Elérhetöség | Copyright | ©2006 Tesztpad.hu