uj virusok

Pribojszki János pjanos at kemenyg-bcs.sulinet.hu
Fri Feb 20 08:10:46 CET 2004 

Kedves lista!

Új hálózati féreg: NetSky.A
  
2004. február 19. 09:37 

 
    Geza Papp 

Az IT-t szerintem azért találták ki, hogy ne unatkozzon az ember, és esetleges unalma helyett is készüljön a következő napra (az is hosszú idő néha). Tegnapelőtt adtunk hírt arról, hogy történetében először egy időben három 1. számú veszélyességi fokozat
 van az F-Secure-nál. 

 

Nem foglalkoztam vele túlzottan, mert túl érdekesnek sem véltem, hogy megemlítsem: a Buster mellett megjelent egy hálózati féreg, és megkezdte vándorlását, terjedését. A féreg a NetSky.A

Alias: I-Worm.Moodown, W32/Netsky.A at mm, Moodown 

Összefoglalás:

A Moodown férget 2004. február 16-án észlelték és másnap analizálták. Első alkalommal tetszőleges címekre küld leveleket igen nagy mennyiségben. A féreg az e-mail csatolt részében van, egyszerűen .ZIP tömörítésben, amit megnyitva előkerül a féreg futtath
ató állománya. De ezen állományokon túl ra melléklet megnyitása után driverekbe másolja magát, azokba a megosztott mappákba, melyet a gépen talál. 

Részletes leírás

A fertőzött rendszerre történő installáció után, azon a gépen, melyen a férgek futnak, kitesz a képernyőre egy hibaüzenetet:

ErrorThe file could not be opened! 

Ekkor bemásolja magát a Windowsba, mint services.exe. Ezután azonnal fájlokat hoznak létre, melyek egy rész a regisztrációs adatbázisba kerül:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"service"= "%windir%\services.exe -serv"

ha a %windir% a Windows könyvtár, akkor az alábbiak változhatnak.

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Taskmon"
"Explorer"
"system."
"KasperskyAv"

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Taskmon"
"Explorer"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"system."

[HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]

Az indulás után címeket keres a féreg minden meghajtón, az alábbi kiterjesztésekben is:

.msg
.oft
.sht
.dbx
.tbb
.adb
.doc
.wab
.asp
.uin
.rtf
.vbs
.html
.htm
.pl
.php
.txt
.eml

A féreg keresi az osztott és megosztható mappákat, ahova bemásolja magát az alábbi neveken: 

winxp_crack.exe
dolly_buster.jpg.pif
strippoker.exe
photoshop9 crack.exe
matrix.scr
porno.scr
angels.pif
hardcoreporn.jpg.exe
office_crack.exe
serial.txt.exe
coolscreensaver.scr
eminem- lick my pussy.mp3.pif
nero.7.exe
virii.scr
e-book.archive.doc.exe
maxpayne 2.crack.exe
howto hack.doc.exe
programmingbasics.doc.exe
e.book.doc.exe
winlonghorn.doc.exe
dictionary.doc.exe
rfccompilation.doc.exe
sexsex sex sex.doc.exe
doom2.doc.pif

E-mail terjedése 

Ha csatlakozott hálózatot észlel, azonnal nagy tömegben küldi el a fertőzött levelet, a csatolt részekben, melyek neve változékony: 

prod_info_04155.bat
prod_info_54234.scr
prod_info_42313.pif
prod_info_33462.cmd
prod_info_49541.exe
prod_info_04650.bat
prod_info_54739.scr
prod_info_42818.pif
prod_info_33967.cmd
prod_info_49146.exe
prod_info_54235.scr
prod_info_42314.pif
prod_info_54433.doc.exe
prod_info_47532.doc.scr
prod_info_43631.doc.exe
prod_info_56780.doc.exe
prod_info_43859.htm.scr
prod_info_87968.htm.scr
prod_info_34157.htm.exe
prod_info_77256.txt.scr
prod_info_33325.txt.exe
prod_info_56474.txt.exe
prod_info_33543.rtf.scr
prod_info_65642.rtf.scr
prod_info_55761.rtf.exe

Ráklikkelve a .zip megnyitásával egy új hullám indul a fogadó gőpről fertőző levelekből:

Jellemzői: 

Feladó: 

EBay Auctions 
*
Yahoo Auctions 
*
Amazon automail 
* 
MSN Auctions 
*
QXL Auctions >
*
Ebay Auctions 

Tárgy: 

Auction successful!

Levéltest: 

#----------------- message was sent by automail agent ------------------#

Congratulations!
You were successful in the auction.
Auction ID 
Product ID 
A detailed description about the product and the bill
are attached to this mail.
Please contact the seller immediately
Thank you!

A fertőzött leveleken a csatolt fertőzők .zip tomorítésben, és bináris kódolásba íródott, az alábbi neveken kerül a gélgépre: 

prod_info_04155.zip
prod_info_54234.zip
prod_info_42313.zip
prod_info_33462.zip
prod_info_49541.zip
prod_info_04650.zip
prod_info_54739.zip
prod_info_42818.zip
prod_info_33967.zip
prod_info_49146.zip
prod_info_54235.zip
prod_info_42314.zip
prod_info_54433.zip
prod_info_47532.zip
prod_info_43631.zip
prod_info_56780.zip
prod_info_43859.zip
prod_info_87968.zip
prod_info_34157.zip
prod_info_77256.zip
prod_info_33325.zip
prod_info_56474.zip
prod_info_33543.zip
prod_info_65642.zip
prod_info_55761.zip

A levél kézhez kapójának a rendszere az első klikkor fertőződik, és elkezdi elölről a leírtakat.

Valljuk be, tévedtünk abban, hogy nem láttuk az új féreg veszélyeit. Február 18-án, tehát az első megjelenése után két nappal észlelték a féreg újabb, B variánsát, ami hihetetlen gyorsasággal "jött". A hiba az, hogy mindenki el volt foglalva az elmúlt na
pok "nagyjaival", a tegnap visszatért Blasterrel, de nem nézte meg a NetSky.A-t alaposabban. Kis kiterjedésű, .zip tömörítésű, levelei gyakorlatilag semmitmondóak, de egy kattintásra fertőz. A felhasználó sokkal könnyebben klikkel a .zip fájlokra, mert t
alán megszokta azokat, megszokta csatolmányként a szokvány levelezésben. Ez a "kis figyelmetlenség" azt jelenti, hogy a statisztikák szerint terjedésben a Blaster a 2. helyre szorul, és már megelőzi a NetSky.B.

Ez az igen alapos ok magyarázza, hogy az F-Secure a 2 veszélyességi fokozatba sorolta.
Hogy is volt: 14:00 órakor a NOD32 jelezte feltűnését, melyet VH rendszerük jelzett - utána szinte megismétlődött a Blaster.... = VirusBuster, Sophos, F-Secure...) A teljes analízist az F-Secure végezte itt is.

A féregvariáns minden tulajdonsága, amit a felhasználó észrevesz, az elődjével azonos. A legfontosabb közös tulajdonságuk, mely miatt szerkezetük hasonlít, és még valami: a bináris kódolás és a zip tömörítés.

Ha valaki észreveszi, hogy gépe lassul, vagy éppen nem dolgozik, és adatforgalom van, azonnal ellenőrizze tűzfalát, zárja a nyitott portot. Ezután sürgősen frissítse antivírusprogramját, és nézesse meg a gépét. Ha ezzel végzett, akkor az előzőeknél leírt
 módon "tisztítsa ki" a registryt. Ha a féreg bejutott keresője beengedte... Én ilyenkor keresőcserét is javaslok, és egy tűzfal (pl. Kerio) telepítését. Az általam javasolt és elérhető árú, kis energiaigényű keresők: NOD32, VirusBuster - de kiváló az in
gyenes AVP és Aast termék is. Azért, mert ingyen letölthető - nem kell sznobságunkat ismerve azonnal rossznak elkönyvelni azokat.

Nagy rendszereknél a Sophosban, a McAffee-ben, esetleg a most megjelenő Symantecben lehet gondolkodni - ha beválik, de ezeket home gépekre nem javaslom. 

-- 
Üdvözlettel:
 Pribojszki János           
 pjanos at kemenyg-bcs.sulinet.hu

More information about the Elektro mailing list