Vilma
-7 °C
4 °C

Rootkittel tér vissza a Mydoom féregvírus

TecChannel
2006.03.27. 10:03
A Mydoom féregvírus programkódját már hosszabb ideje használják újabb és újabb férgek kiindulási alapként. Ilyen például a teljes Mytob-család. A finn F-Secure antivírus cég a nemrégiben felbukkant Gurong.a-ra figyelmeztet, amely eddig még nem látott rootkit eljárást alkalmaz, és a gyanú szerit Oroszországból származik.

A Gurong.a levél útján, illetva a Kazaa P2P-hálózatán keresztül terjed. A levelek feltűnő címzést, például "Greetings!", "Hello friend ;)", "Hey dear!" illetve "Re: Hello" alkalmaznak. A levélhez csatolt fájl neve többek közt "body.bat", "document.pif" és "sex_pics.scr" lehet.

A Kazaa-n való terjedéshez a Gurong.a a "0day_patch.exe", "skype_video.scr" és "xp_activation.pif" neveket használja. Ha a felhasználó óvatlansága miatt lefur a vírus kódja, elsőként wmedia16.exe néven a Windows könyvtárba másolja magát. Majd a registrybe írva gondoskodik róla, hogy minden induláskor lefusson.

A Gurong.a által használt rootkit-eljárás úgynevezett "Call gate-n" alapul, vagyis a bejelentkezett felhasználónak kijelölt területről parancsokat küldhessen a rendszer kernelének. Ezáltal a Gurong.a fájlokat, folyamatokat és registry bejegyzéseket rejthet el anélkül, hogy szüksége volna telepíteni a más rootkitek átal használt speciális csatolófájlt.