Wirus Padobot

Programy
Czwartek, 17 lutego 2005 (14:58)

Pojawił się kolejny wirus - Padobot- informuje Kaspersky Lab. Jest to robak rozprzestrzeniający się przez Internet. Ma postać pliku PE EXE o rozmiarze około 10 KB (kompresja UPX, rozmiar po rozpakowaniu - około 24 KB). Szkodnik wyposażony jest w procedurę backdoor. Robak wykorzystuje lukę w usłudze LSASS opisaną przez firmę Microsoft w biuletynie MS04-011

Pojawił się kolejny wirus - Padobot- informuje Kaspersky Lab. Jest to robak rozprzestrzeniający się przez Internet. Ma postać pliku PE EXE o rozmiarze około 10 KB (kompresja UPX, rozmiar po rozpakowaniu - około 24 KB). Szkodnik wyposażony jest w procedurę backdoor. Robak wykorzystuje lukę w usłudze LSASS opisaną przez firmę Microsoft w biuletynie MS04-011

Po uruchomieniu robak kopiuje się do foldera \Windows\System z losową nazwą, przykładowo gytotrn.exe, i tworzy dla tej kopii klucz auto-run w rejestrze systemowym, co zapewnia mu uruchamianie wraz z każdym startem systemu operacyjnego:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"Cryptographic Service" = "%System%\(losowa nazwa).exe"

Dodatkowo szkodnik tworzy klucz:

[HKLM\SOFTWARE\Microsoft\Wireless]

"ID" = "(losowa wartość)"

W celu oznaczenia zainfekowanego systemu robak tworzy unikatowy identyfikator uterm19.

Robak losuje adres IP i wysyła do niego żądanie poprzez port TCP 445. Jeżeli zdalny komputer odpowie robak uruchamia na nim własny kod za pośrednictwem luki w usłudze LSASS.

Reklama

Robak otwiera losowy port TCP i oczekuje na zdalne polecenia. Wbudowana funkcja backdoor pozwala zdalnemu użytkownikowi na uzyskanie pełnego dostępu do komputera.

Padobot.m podejmuje próby odbierania zdalnych poleceń i wysyłania danych podczas nawiązywania połączenia z wieloma kanałami IRC (głównie dla dorosłych):

Inne znane nazwy szkodnika to: Korgo i Lsabot

INTERIA.PL
Dowiedz się więcej na temat: Microsoft | wirus | robak
Reklama
Reklama
Reklama
Reklama
Reklama
Strona główna INTERIA.PL
Polecamy
Reklama
Reklama