Waledac féreg

 E-mail
IWIWSatartlapGoogle bookmarkTwitterLinkter.huFacebookBlogter.hu
Vírus Hírek

Levélszemét marad a Waledac féreg mögött

A Waledac.C féreg elsősorban a spammereket segíti azzal, hogy az általa megfertőzött számítógépekről nagy mennyiségű kéretlen elektronikus levelet küldözget.

A Waledac családhoz tartozó férgek már korábban bebizonyították, hogy komolyan számolni kell velük, ugyanis nagy megbízhatósággal képesek ellátni a feladataikat. A legújabb variánsuk amellett, hogy spammelésből veszi ki a részét, képes kiszolgáltatottá tenni a fertőzött rendszereket. A Waledac.C a számítógépeken különféle formátumú állományokat vizsgál át annak érdekében, hogy minél több e-mail címre tegyen szert. Amennyiben az összes számára érdekes fájlt átkutatta, a terjesztői utasításainak alapján elkezd kéretlen elektronikus leveleket kiküldeni.

Az Isidor Biztonsági Központ közleménye kitér arra, hogy a Waledac.C egy WinPcap szolgáltatásnak álcázza magát a PC-ken, amelyeken egy hátsó kaput létesít. Ezen keresztül vezérelhetővé válik, és többek között a spammelési tevékenysége is szabályozható lesz. Azonban ezzel nem fejeződik be a féreg ténykedése, ugyanis folyamatosan figyelemmel kíséri a hálózati adatforgalmat annak érdekében, hogy FTP-szerverekhez tartozó felhasználóneveket és jelszavakat tudjon összegyűjteni, majd kiszivárogtatni.

Amikor a Waledac.C féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
%System%/Packet.dll
%System%/drivers/npf.sys
%System%/wpcap.dll

2. A regisztrációs adatbázishoz hozzáfűzi az alábbi értéket:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/"MozillaAgent" = "%CurrentFolder%/[a féreg fájlneve].exe"

3. A regisztrációs adatbázishoz hozzáadja a következő bejegyzéseket:
HKEY_CURRENT_USER/Software/Mozilla/"AppID" = "[véletlenszerű karakterek]"
HKEY_CURRENT_USER/Software/Mozilla/"ID" = "[véletlenszerű karakterek]"
HKEY_CURRENT_USER/Software/Mozilla/"ID2" = "[...]"
HKEY_CURRENT_USER/Software/Mozilla/"ID3" = "[...]"

4. Létrehoz egy windows-os szolgáltatást WinPcap Packet Driver (NPF) néven.

5. A regisztrációs adatbázisba beszúrja a következő kulcsot:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NPF

6. Nyit egy hátsó kaput a 80-as TCP porton keresztül.

7. Távoli szerverekről különböző programokat tölt le, illetve indít el.

8. Bizalmas adatokat gyűjt össze, amelyeket e-mailben juttat el a terjesztői számára.

9. E-mail címeket gyűjt össze különböző kiterjesztésű állományok átvizsgálásával.

10. A megszerzett e-mail címek alapján spammelésbe kezd.

11. Folyamatosan monitorozza a hálózati adatforgalmat.

12. A hálózati adatforgalomból FTP-szerverekhez tartozó felhasználóneveket és jelszavakat gyűjt ki.

 

-vége-


A hír megjelenését a Biztonságportál támogatta.

 


< Előző   Következő >