8-02-05 11:38
Crvi Bropia.F, Bobax.H i Wumark-F
piše IVOR MILOŠEVIĆ
Bropia.F, Bobax.H i Wumark-F, tri su nova crva koji različitim metodama pokušavaju prevariti korisnike te pokrenuti štetne servise.
W32/Bropia-F je crv za windows sisteme koji se širi koristeći MSN Messenger. Jednom aktiviran, W32/Bropia-F se kopira u root direktorij koristeći raznovrsna imena datoteke, te u Windows system folder pod imenom msnmsr.exe.
Crv nadzire status MSN Messenger servisa i kopira se u Messenger contacts.
W32/Bropia-F kreira datoteku sexy.jpg u root direktorij i stavlja updates.exe vezan za crv W32/Rbot-VM u sistemski direktorij Windowsa.
W32/Rbot-VM je mrežni crv odnosno IRC backdoor trojanac za Windows platforme. Širi se raznovrsnim metodama među kojima je i iskorištavanje "slabih" lozinki na računalima i SQL serverima, zatim iskorištavanje ranjivosti OS-a (npr. DCOM-RPC, LSASS).
W32/Rbot-VM napadač može kontrolirati preko IRC kanala.
W32/Rbot-VM se uklanja na sijedeći način:
Osim navedenih datoteka obrišite i slijedeće HKEY_LOCAL_MACHINE stavke u system registriju:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
xpupdate
updates.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
xpupdate
updates.exe
Detaljnije:
http://www.sophos.com/virusinfo/analyses/w32bropiaf.html
http://www.sophos.com/virusinfo/analyses/w32rbotvm.html
http://ct.techrepublic.com.com/clicks?c=19083-30820515&brand=techrepublic&ds=5
Drugi crv je Bobax.H, mass-mailing crv sličan Sasseru koji koristi MS04-011(LSASS.exe) ranjivost za propagiranje.
W32/Bobax-H također sadržava i email relay modul kojim omogućava prijenos SPAM poruka na inficiranom računalu.
Jednom pokrenut, W32/Bobax-H formira helper dll u temp direktoriju pod slučajno odabranim imenom. Kada se ovaj dll učita .exe komponenta se seli u windows system direktorij, ponovo pod slučajno odabranim imenom.
W32/Bobax-H kreira slijedeće registry stavke da bi si omogućio auto-start nakon reboota:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
<random character name> = <path to worm>
Na računalima s Windowsima 9x crv će kreirati i slijedeće dodatne regitry stavke:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
<random character name> = <path to worm>
W32/Bobax-H može modificirati i HOSTS datoteku sa svrhom onemogućavanja pristupa različitim antivirusim web stranicama, te će prikupiti
e-mail adrese sa inficiranog računala iz datoteka sa ekstenzijama HTM, TXT i DBX.
E-mail poruke koje crv generira i šalje svojim mail engineom će odgovarati slijedećim karakteristikama:
Text poruke odabran između:
Saddam Hussein - Attempted Escape, Shot dead
Attached some pics that i found
Osama Bin Laden Captured.
Attached some pics that i found
Testing
Secret!
Hey,
Remember this?
Hello,
Long time! Check this out!
Hey,
I was going through my album, and look what I found..
Hey,
Check this out :-)
Ime privitka može biti:
(slučajno odabrana ekstenzija: PIF, SCR, EXE, ZIP):
Cool
pics.1
funny.1
bush.1
joke.1
secret.2
Detaljnije:
http://www.sophos.com/virusinfo/analyses/w32bobaxh.html
http://ct.techrepublic.com.com/clicks?c=19084-30820515&brand=techrepublic&ds=5
Zadnji crv je W32/Wurmark-F. Ovo je mass-mailing crv which koji se šalje u obliku .zip privitka na adrese pokupljene sa inficiranog računala.
Jednom pokrenut crv prikazuje sliku uglym.jpg te se instalira na računalo.
W32/Wurmark-F postavlja nekoliko datoteka u windows system direktorij: attached.zip (zip datoteka sa W32/Wurmark-F, i xxz.tmp, odnosno kopijom crva).
W32/Wurmark-F će također postaviti i slijedeće čiste datoteke:
ANSMTP.DLL, bszip.dll, uglym.jpg kao i datoteku iz porodice W32/Rbot crva svchosts.exe.
E-mail adrese se prikupljaju s inficiranog računala iz datoteka s ekstenzijama:
WAB
ADB
TBB
DBX
ASP
PHP
HTM
HTML
SHT
TXT
DOC
Ali crv preskače adrese koje sadrže neki od slijedećih nizova karaktera:
.gov
ada
avg
gri
icro
lavat
mcae
nod
panda
rsky
soph
sophos
symac
Detaljnije:
http://www.sophos.com/virusinfo/analyses/w32wurmarkf.html
http://ct.techrepublic.com.com/clicks?c=19085-30820515&brand=techrepublic&ds=5
|
