/ Forside/ Teknologi / Internet / Sikkerhed / Tip
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
ny orm spiser mp3 filer
miritdk har modtaget 30 point for dette tip
Fra : miritdk
Vist : 686 gange

Dato : 31-07-07 17:59

Citat
Orm spiser MP3 filer via flytbare medier

CSIS har analyseret en ny orm, som indeholder en noget atypisk payload. Når ormen inficerer et system, begynder den sysmatisk at slette samtlige tilgængelige .mp3 filer på alle tilgængelige drev på systemet, herunder også USB drev og andre flytbare medier.

Ormen "W32.DeleteMp3,worm", som vi har døbt den, spreder sig automatisk til ubeskyttede shares og ved at flytte sig fra et flytbart medie til et andet via en "autorun.inf" funktion.

Hvis denne kode køres på et system, f.eks. igennem et flytbare medie, som en USB enhed, så vil den droppe følgende filer til det kompromitterede system:

[%windows systemmappen%]\config\csrss.exe
[%windows systemmappen%]\logon.bat
[%windows systemmappen%]\config\autorun.inf
[%windows mappen%]\media\arena.exe

Ideen med at droppe filen "autorun.info" er, at samme filer som droppes til windows- og windows system mappen, også droppes til alle tilgængelige drev og enheder og derved, når en enhed flyttes frem og tilbage mellem forskellige systemer, vil starte ormen via autorun.inf (afhængig af indstillingerne i Microsoft Windows).

Den modificerer ved kørsel registreringsdatabasen med en runas værdi, som bevirker at ormen reaktiveres efter en genstart af systemet:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\
"Worms"="[%windows systemmappen%]\logon.bat

For at sikre, at ormens processer forbliver aktive på systemet, så deaktiverer W32.DeleteMp3 taskmanageren (windows jobliste) med følgende ændring i registreringsdatabasen:

HKEY_ALL_USERS\Software\Microsoft\Windows\
CurrentVersion\Policies\System\"DisableTaskMgr"="1"

Vi antager, på baggrund af indhold i den binære kode, at ormen stammer fra Sydamerika.

W32.DeleteMP3.worm er et klassisk eksempel på de sikkerhedsmæssige problemstillinger man introducerer med flytbare enheder. Selvom denne orm er relativt simpelt skrevet og udelukkende sletter MP3 filer, fra systemer den inficerer, så kan USB orme i fremtiden, udrette betydeligt mere skade.

W32.DeleteMp3.worm opnår kun begrænset antivirus detektion.


kilde: CSIS Security Group














 
 
Bedømmelse

Fra : prosat


Dato : 31-07-07 18:13

godt tip

Bedømmelse

Fra : stl_s


Dato : 31-07-07 18:13

Antipiratgruppernes hævn

Bedømmelse

Fra : Laika_pigen


Dato : 31-07-07 18:19



Bedømmelse

Fra : HenrikFakse


Dato : 31-07-07 18:23

Når antipiratgruppen ikke kan få folk på en måde, så finder de på noget andet ... hehe ... det er ikke hos mig de kommer ... hehe

Bedømmelse

Fra : Flemming17


Dato : 31-07-07 18:27

Der kan man bare se

Du har følgende muligheder
Eftersom du ikke er logget ind i systemet, kan du ikke lave en bedømmelse til dette tip.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.
Søg
Reklame
Statistik
Spørgsmål : 177579
Tips : 31968
Nyheder : 719565
Indlæg : 6409073
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste