Hrvatska akademska i istraživačka mreža
  NASLOVNICA MAPA WEBA TRAŽILICA KONTAKTI CARNET WEB
Hrvatska akademska i istraživačka mreža
 
menu 4
Sigurnost
menu 4
Distribucija
menu 4
Pomoć
menu 4
Dokumenti
menu 4
menu 4

 

 

17-05-04 11:33
Crv "Dabber" koristi ranjivost crva "Sasser".

piše IVOR MILOŠEVIĆ

Samo nekoliko tjedana nakon pojave crva (Doomjuice i Deadhat) koji su iskorištavali MyDoom backdoor za propagaciju preko MyDoom inficiranih računala, ponavlja se slična situacija sa Sasser crvom.

 

Crv nazvan W32/Dabber-A je backdoor trojan koji pretražuje mrežu slučajnim odabirom IP adresa, te se učitava na računala inficirana Sasser crvom zahvaljujući 'sigurnosnoj' rupi u FTP server kodu koji pokreće Sasser. Sistemi inficirani Sasser crvom imaju pokrenut FTP server kao pozadinski process koji otvara portove 5554 ili 9898.

 

Dabber se kopira u Windows System ili System32 direktorije te u Startup izbornik pod imenom PACKAGE.EXE, te dodaje neku od slijedećih stavki u system registry:

 

KLM\Software\Microsoft\Windows\CurrentVersion\Run\

sassfix = C:\<Windows System32>\package.exe

 

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

sassfix = C:\<Windows System32>\package.exe

 

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\

sassfix = C:\<Windows System32>\package.exe

 

 

Opširnije informacije o Dabber crvu i uputstva za brisanje možete naći na:

 

http://www.sophos.com/virusinfo/articles/dabber.html

 

http://www.sophos.com/virusinfo/analyses/w32dabbera.html

 





[Lista]
Ovu uslugu CARNeta realizira Sveučilišni računski centar Sveučilišta u Zagrebu
  Copyright ©2005. CARNet. Sva prava zadržana. Impressum.
Mail to
sys-portal@CARNet.hr