Vírus, ami szoftvereink regisztrációs kulcsai után kutat

2004. október 20.
7.6671
Figyelem! Ez a hír már több, mint egy éves! A benne lévő információk elavultak lehetnek!
Hírblock profilja, adatai
Hírblock
Mindenki utálja, ha "matatnak" a számítógépén, utálja, ha adatokat lopnak el róla, ha figyelik a billentyűleütéseit, ha a gépe szerverként működik, vagy kéretlen leveleket küld, esetleg trágárságokat ír a "csevegő programjain" barátainak.

Azt még jobban utálja, ha ismeretlen állományokat töltenek, a gépére, és futtatják azokat, de talán a "legellenszenvesebb", ha a gépén lévő alkalmazások regisztrációs kulcsait lopják el - ha vannak...

Erre új filmjeiben az egyre "sharmosabb" 007-es ügynök volt képes (a hölgyek nagy örömére), de most James Bond-unk nem hiszem, hogy akárki szívébe lopná magát. Ezt a 007-es ügynököt, ezt a "szuperkémet" W32/Sluter-E névvel illették, ma észlelték, és identifikálták 18 October 2004 07:53:51 (GMT) -kor a Sophos Plc. vírus laboratóriumában.

Az egyáltalán nem szimpatikus W32/Sluter-E egy hálózati féreg, megosztott hálózatokon és "csevegőprogramokon" terjed, a fertőzés a Windows operációs rendszereket érinti. "Különös ismertetőjegyei" más tulajdonságai mellett, hogy:

Kikapcsolja az antivírus alkalmazásokat
Engedélyezi a számítógépre illetéktelenek belépését
Információkat gyűjt, és lop el
Csökkenti a rendszer biztonságát
Rögzíti a billentyűleütéseket
Végül, de nem utolsó sorban bejegyzéseket telepít a regisztrációs adatbázisba

A W32/Sluter-E Windows platformot fertőző IRC hátsó ajtó trójai, és hálózati féreg. A féreg megosztott hálózatokon terjed, miközben fürkészi a hálózatokra kapcsolódó számítógépeket, melyeken ismert - és ki nem javított - rendszer-sebezhetőségeket keres.

A fertőzés utáni első futásakor a féreg winsci32.exe fájlnéven jegyzi be magát a Windows system könyvtárba. Ezen túl, hogy a rendszer indításakor minden alkalommal fusson a W32/Sluter-E is, az alábbi bejegyzéseket írja a regisztrációs adatbázis megfelelő kulcsaihoz:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunServic es
Winsci Loaded = %System%winsci32.exe

HKLMSoftwareMicrosoftWindowsCurrentVersion Run
Winsci Loaded = %System%winsci32.exe

A féreg "Winsci32" nevű rendszerszolgáltatás (system service) néven bejegyzi magát úgy, hogy az imagepath ("végrehajtási út") a winsci32.exe - re mutat.

W32/Sluter-E csatlakozik egy IRC csatornához ahonnan a parancsokat egy távoli felhasználótól küldi. A hátsó ajtó összetevő utasításra a következő funkciók bármelyikére képes:

SOCKS4 proxy szerver
FTP szerver
E-mail küldés
Keylogger (billentyűleütés-figyelő funkció)
Képes DDoS támadások indítására (SYN, ICMP, Ping)
Ellopja a különböző termékek, alkalmazások regisztrációs kulcsait (ha van...)
Sértő szövegeket illeszt be az alábbi programok nyitott ablakaiba , és továbbítja azokat (AIM, Yahoo, MSN Messenger)
Összegyűjti a rendszerinformációkat (filesystem, hardware, futó folyamatok stb.)
Kinyitja és bezárja CDROM tálcákat
Utasításra letölt/feltölt állományokat
Alkalmazásokat futtat (parancsra)

A W32/Sluter-E "lekérdezi" a regisztrációs adatbázis bejegyzéseiből az alábbi meghatározott játékok kulcsait:

HKLMSoftwareWestwoodTiberian Sun
HKLMSoftwareWestwoodRed Alert 2
HKLMSoftwareIGI 2 RetailCDKey
HKLMSoftwareElectronic ArtsEA GAMESGeneralsergc
HKLMSoftwareElectronic ArtsEA SportsFIFA 2003ergc
HKLMSoftwareElectronic ArtsEA GAMESNeed For Speed Hot Pursuit
HKCUSoftwareEugen SystemsThe Gladiators
HKLMSoftwareActivisionSoldier of Fortune II - Double Helix
HKLMSoftwareBioWareNWNNeverwinter
HKLMSoftwareRed Storm EntertainmentRAVENSHIELD
HKLMSoftwareElectronic ArtsEA GAMESBattlefield 1942 The Road to Rome
HKLMSoftwareElectronic ArtsEA GAMESBattlefield 1942
HKLMSoftwareIGI 2 Retail
HKCUSoftwareValveCounterStrikeSettings
HKLMSoftwareUnre al TechnologyInstalled AppsUT2003
HKCUSoftwareValveHalf-LifeSettings

A féreg ellen védekezni a rendszeren futó antivírus programok adatbázisainak frissítésével lehet. Van olyan AV program, aminek az adatbázisa már ismeri ezt a károkozót. Csökkentett módban, kézzel indítva az AV programot törölhetjük a féreg állományokat. A registry bejegyzéseket manuálisan távolítsuk el - miután a regisztrációs adatbázisunkról biztonsági mentést készítünk.
1 hozzászólás

Aj Styles

8 éve, 5 hónapja és 8 napja

Elég kemény, de sztem elég kicsi a valószínüsége, hogy bárkit is megtalál igy az ismerettségi körbe

válasz erre

kapcsolódó hírek, cikkek

Nincsenek kapcsolódó cikkek.

 
legutóbbi hozzászólások
 

Itt is rontjuk a levegőt

DNS profiljaturatur profiljarDAVE profiljawazko profiljagery1113 profiljatotyak profiljaYanez profiljaWickedSick profiljagiling1 profilja