|
| ny orm spiser mp3 filer miritdk har modtaget 30 point for dette tip Fra : miritdk | Vist : 686 gange
Dato : 31-07-07 17:59 |
|
Citat Orm spiser MP3 filer via flytbare medier
CSIS har analyseret en ny orm, som indeholder en noget atypisk payload. Når ormen inficerer et system, begynder den sysmatisk at slette samtlige tilgængelige .mp3 filer på alle tilgængelige drev på systemet, herunder også USB drev og andre flytbare medier.
Ormen "W32.DeleteMp3,worm", som vi har døbt den, spreder sig automatisk til ubeskyttede shares og ved at flytte sig fra et flytbart medie til et andet via en "autorun.inf" funktion.
Hvis denne kode køres på et system, f.eks. igennem et flytbare medie, som en USB enhed, så vil den droppe følgende filer til det kompromitterede system:
[%windows systemmappen%]\config\csrss.exe
[%windows systemmappen%]\logon.bat
[%windows systemmappen%]\config\autorun.inf
[%windows mappen%]\media\arena.exe
Ideen med at droppe filen "autorun.info" er, at samme filer som droppes til windows- og windows system mappen, også droppes til alle tilgængelige drev og enheder og derved, når en enhed flyttes frem og tilbage mellem forskellige systemer, vil starte ormen via autorun.inf (afhængig af indstillingerne i Microsoft Windows).
Den modificerer ved kørsel registreringsdatabasen med en runas værdi, som bevirker at ormen reaktiveres efter en genstart af systemet:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\
"Worms"="[%windows systemmappen%]\logon.bat
For at sikre, at ormens processer forbliver aktive på systemet, så deaktiverer W32.DeleteMp3 taskmanageren (windows jobliste) med følgende ændring i registreringsdatabasen:
HKEY_ALL_USERS\Software\Microsoft\Windows\
CurrentVersion\Policies\System\"DisableTaskMgr"="1"
Vi antager, på baggrund af indhold i den binære kode, at ormen stammer fra Sydamerika.
W32.DeleteMP3.worm er et klassisk eksempel på de sikkerhedsmæssige problemstillinger man introducerer med flytbare enheder. Selvom denne orm er relativt simpelt skrevet og udelukkende sletter MP3 filer, fra systemer den inficerer, så kan USB orme i fremtiden, udrette betydeligt mere skade.
W32.DeleteMp3.worm opnår kun begrænset antivirus detektion. |
kilde: CSIS Security Group
| |
|
Når antipiratgruppen ikke kan få folk på en måde, så finder de på noget andet ... hehe ... det er ikke hos mig de kommer ... hehe
| |
| Du har følgende muligheder | |
|
Eftersom du ikke er logget ind i systemet, kan du ikke lave en bedømmelse til dette tip.
Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.
| |
|
|