|
www.elektronik.si Forum o elektrotehniki in računalništvu
|
Poglej prejšnjo temo :: Poglej naslednjo temo |
Avtor |
Sporočilo |
Bostjan Moderator
Pridružen-a: Pon 28 Jul 2003 15:06 Prispevkov: 190 Aktiv.: 0.85 Kraj: Ljubljana
|
Objavljeno: Tor Jan 27, 2004 4:10 pm Naslov sporočila: Worm MIMAIL.R |
|
|
Pozor!!!
Po internetu kroži nov črv, imenovan MIMAIL.R. Širi se preko e-pošte ali Kazaai-a in odpira porte 3127 do 3198 za oddaljeno upravljanje. Hkrati pa zasipa z e-pošto naslov www.sco.com.
Več o virusu, odstranjevanju in online čiščenje na:
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MIMAIL.R
_________________ LP,
Boštjan M.
Srce heroja bije v vsakomur, a le izbrani ga lahko tudi slišijo. (Charles Barkley) |
|
Nazaj na vrh |
|
|
Silvo Moderator
Pridružen-a: Pon 24 Feb 2003 17:09 Prispevkov: 14555 Aktiv.: 65.29 Kraj: Koroška-okolica Dravograda
|
Objavljeno: Čet Jan 29, 2004 5:14 pm Naslov sporočila: |
|
|
Še podroben opis virusa MyDoom.B
Vir Kabi. si
Gre za novo verzijo črva Mydoom, ki se je pojavila 28. januarja 2004. Ta izpeljanka napada naslova SCO.COM in Microsoft.com ter onemogoča dostop do množice spletni strani, tudi do strani www.f-secure.com .
Podroben opis
Črv uporablja enak način skrivanja besedil z uporabo ROT13 kot verzija Mydoom.a . Skopira se v sistemski imenik okolja Windows kot 'explorer.exe' in doda vnos v register.
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Explorer" = %sysdir%\explorer.exe
če mu to ne uspe, doda:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Explorer" = %sysdir%\explorer.exe
S tem doseže, da se sproži ob vsakem zagonu računalnika.
Poleg tega skopira dodatno datoteko v:
%sysdir%\ctfmon.dll
Datoteko doda v register pod:
[HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
To povzroči, da Explorer vedno naloži ta DLL in le-ta ni viden kot samostojen proces.
Črv kreira mutex z imenom "sync-v1.01__ipcmtx0". Tako zagotovi, da se ne požene večkrat hkrati.
Črv vsebuje besedilo, ki se nikoli ne izpiše:
(sync-1.01; andy; I'm just doing my job, nothing personal, sorry)
Širjenje v omrežju Kazaa
Črv v register pogleda, kateri imenik je v skupni rabi programa Kazaa in se vanj skopira pod imenom, sestavljenim iz besed:
NessusScan_pro
attackXP-1.26
winamp5
MS04-01_hotfix
zapSetup_40_148
BlackIce_Firewall_Enterpriseactivation_crack
xsharez_scanner
icq2004-final
Podaljški pa so:
.bat
.exe
.scr
.pif
Razpošiljanje po elektronski pošti
Črv nabere naslove, na katere se razpošilja, iz adresarja (Windows Address Book) ter datotek s podaljški:
pl
adb
tbb
dbx
asp
php
sht
htm
txt
Zazna tudi nekatere enostavne oblike prikrivanja naslovov, naprimer " at " nadomesti z znakom "@".
Poslana sporočila imajo naslednje značilnosti:
Zadeva je lahko:
Status
hi
Delivery Error
Mail Delivery System
hello
Error
Server Report
Returned mail
Vsebina je lahko:
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
sendmail daemon reported:
Error #804 occured during SMTP session. Partial message has
been received.
The message contains Unicode characters and has been sent as a binary attachment.
The message contains MIME-encoded graphics and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.
Pripone so sestavljene iz besed:
document
readme
doc
text
file
data
message
body
s podaljški:
pif
scr
exe
cmd
bat
Konec delovanja
Črv se ob zagonu ustavi, če je datum kasnejši od 1. marca 2004 ob 03:18:42 (UTC)
Stranska vrata
Črv se zna poslati na že okužene računalnike. To naredi tako, da pregleda naključno izbrana IP območja (razen rezerviranih) in se poizkusi povezati na vrata 3127 (ki jih odpre verzija Mydoom.a). Če povezava uspe, se skopira na računalnik in požene. Tako se nadgradi verzija črva.
Črv tudi preveri ime trenutnega računalnika preko funkcije gethostbyname(), pretvori ime v IP številko in pregleda računalnike v tem IP območju.
Napadanje
Črv napada strežnik www.microsoft.com od 3. februarja 2004 ob 13:09:18 (UTC) ter www.sco.com od 1. februarja 2004 ob 16:09:18 (UTC) dalje.
DDoS napad na www.sco.com poteka v osmih povezavah hkrati na vsakih 1024 tisočink sekunde.
DDoS napad na www.microsoft.com poteka v 14 povezavah hkrati na vsakih 1024 tisočink sekunde.
Črv na okuženem računalniku spremeni vsebino datoteke hosts, tako da se množica spletnih strani ne odpre več.Vsebina datoteke:
0.0.0.0 engine.awaps.net awaps.net www.awaps.net ad.doubleclick.net
0.0.0.0 spd.atdmt.com atdmt.com click.atdmt.com clicks.atdmt.com
0.0.0.0 media.fastclick.net fastclick.net www.fastclick.net ad.fastclick.net
0.0.0.0 ads.fastclick.net banner.fastclick.net banners.fastclick.net
0.0.0.0 www.sophos.com sophos.com f*p.sophos.com f-secure.com www.f-secure.com
0.0.0.0 f*p.f-secure.com securityresponse.symantec.com
0.0.0.0 www.symantec.com symantec.com service1.symantec.com
0.0.0.0 liveupdate.symantec.com update.symantec.com updates.symantec.com
0.0.0.0 support.microsoft.com downloads.microsoft.com
0.0.0.0 download.microsoft.com windowsupdate.microsoft.com
0.0.0.0 office.microsoft.com msdn.microsoft.com go.microsoft.com
0.0.0.0 nai.com www.nai.com vil.nai.com secure.nai.com www.networkassociates.com
0.0.0.0 networkassociates.com avp.ru www.avp.ru www.kaspersky.ru
0.0.0.0 www.viruslist.ru viruslist.ru avp.ch www.avp.ch www.avp.com
0.0.0.0 avp.com us.mcafee.com mcafee.com www.mcafee.com dispatch.mcafee.com
0.0.0.0 download.mcafee.com mast.mcafee.com www.trendmicro.com
0.0.0.0 www3.ca.com ca.com www.ca.com www.my-etrust.com
0.0.0.0 my-etrust.com ar.atwola.com phx.corporate-ir.net
Pred napadom na Microsoft je dodana vrstica, ki onemogoča odpiranje strani www.microsoft.com:
0.0.0.0 www.microsoft.com
3. februarja črv to vrstico odstrani.
Namen sprememb je, da bi se onemogočil dostop do navedenih spletnih strani.
Podjetje F-Secure je pripravilo orodje, s katerim se lahko zazna in odstrani črva Mydoom. V prilogi:
Opis: |
|
Download |
Ime datoteke: |
f-mydoom.zip |
Velikost datoteke: |
53.98 KB |
Downloadano: |
5 krat |
_________________ lp
Silvo |
|
Nazaj na vrh |
|
|
|
|
Ne, ne moreš dodajati novih tem v tem forumu Ne, ne moreš odgovarjati na teme v tem forumu Ne, ne moreš urejati svojih prispevkov v tem forumu Ne, ne moreš brisati svojih prispevkov v tem forumu Ne ne moreš glasovati v anketi v tem forumu Ne, ne moreš pripeti datotek v tem forumu Ne, ne moreš povleči datotek v tem forumu
|
Uptime: 74 dni
Powered by phpBB © 2001, 2005 phpBB Group
|