Mária
-6 °C
-2 °C

Feltámadt a Mydoom

2004.06.03. 17:26
Két új féreg is megjelent a napokban. A Plexus a Kapersky Anti-Virus használóit támadja, a Korgo új variánsai pedig válogatás nélkül minden gépet, viszont mindkettő hozzáférést biztosít a fertőzött gépekhez a vírusok íróinak.
Új variánsai jelentek meg a Korgo nevű féregnek a múlt héten, a vírusirtó cégek emelték a program veszélyességi fokát, adta hírül a Register.

A Korgo a Microsoft Windows Local Security Authority Subsystem Service-ének (LSASS) sebezhetőségét használja ki, hogy felkerüljön a nem megfelelően védett gépekre. Ugyanezt a hibát aknázta ki korábban a Sasser féreg és számos más, kevésbé elterjedt féregfajta is az óta. A férget a finn F-Secure vírusirtó cég szerint a Russian Hangup Team nevű csoport írta.

A Korgo A-t (és variánsait) C++- ben programozták, méretük körülbelül 10 kilobyte, és UPX-ben vannak tömörítve. A Korgo, miután megtámadta a gépet, véletlenszerűen generált néven a rendszermappába másolja magát, és regisztrálja a fájlt. Ezután új támadható gépek után kezd el kutatni a 445-ös TCP porton, majd a 113-as és 3067-es, és egyéb TCP portokon, és hátsó kapukat nyit a vírust író hackerek számára. A fertőzött gépek néhány IRC-szerverhez is kapcsolódnak, hogy utasításokat fogadhassanak, és adatokat továbbítsanak a vírusíróknak. A fertőzött gépek LSASS-hibaüzenetet írnak ki, és gyakran újraindulnak.

Öt féle üzenetben támad a Plexus

A Korgóhoz hasonlóan a Plexus is az LSASS hibáit aknázza ki, de fájlcserélő hálózatokon és emailekhez csatolt fájlokban is terjed. A Plexus öt féle emaillel próbálja félrevezetni a felhasználókat. Mindegyik üzenetnek más a címe, a szövege és a csatolt fájl neve, méretük azonban azonos: 16208 byte FSG-vel tömörítve, és 57856 kicsomagolva.

A Plexus upu.exe néven regisztrálja magát a Windows rendszermappába, majd biztosítja, hogy elinduljon minden alkalommal, amikor a gép újraindul. Ezután másolatait elküldi az összes emailcímre, amit a merevlemezen talált. Végül megnyitja az 1250-es port-ot, és lehetővé teszi, hogy a vírus írói fájlokat töltsenek le a fertőzött gépről és töltsenek fel rá, ezen kívül meggátolja, hogy a Kapersky Anti-Virus frissítse magát. A Kapersky Labs már kiadott egy frissítést a vírusirtóhoz, ha fertőzött a gépünk, ezt manuálisan kell letöltenünk. Szakértők szerint a szerzők a Mydoom forráskódját hazsnálták a vírus készítésekor. A vírus részletes leírása megtalálható a Kapersky Virus Encyclopediában.

Nászút ajándékba!

Esküvőt tervez? Tervezzen velünk, nyerjen wellness nászutat!

Budapest Te Csodás!

Karácsonyi pompába öltözött utcák, színes adventi vásárok, gazdag kulturális élmények, ez mind Budapest.