/ Forside/ Teknologi / Netværk / TCP/IP / Tip
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
TCP/IP
#NavnPoint
Per.Frede.. 4668
BjarneD 4017
severino 2804
pallebhan.. 1680
EXTERMINA.. 1525
xou 1455
strarup 1430
Manse9933 1419
o.v.n. 1400
10  Fijala 1204
Ny variant ORM
ofa har modtaget 0 point for dette tip
Fra : ofa
Vist : 801 gange

Dato : 11-02-04 08:23

En ny variant af Mydoom spreder sig langsomt. De fleste antivirus firmaer er enige om at ormen adskiller sig fundamentalt fra Mydoom og har derfor valgt at kalde den DoomJuice.

Der er dog ingen tvivl om at DoomJuice eller Mydoom-C er skrevet af samme person/personer som stod bag Mydoom A og B.

Den nye variant syntes at signalere enden på Mydoom familien. Der er flere grund til at konkludere dette. Forfatteren har bl.a. valgt at inkludere selve kildekoden til Mydoom-A i den nye variant. Kildekoden kopieres til allerede inficerede systemer sammen med den nye variant af ormen. Samtidig er W32.Mydoom-C.worm (DoomJuice) udelukkende netværksbaseret. Det vil sige, at den ikke længe spreder sig via e-mail eller KaZaa, men udelukkende til inficerede Mydoom værter.

W32.Mydoom-C.worm søger efter systemer, som allerede er blevet inficeret af Mydoom-A og B. Når et system er fundet, hvor bagdøren er aktiv, kopieres den automatisk til harddisken og afvikler sig selv. Den forbliver resident i hukommelsen som processen "intrenat.exe".


Ormen kopierer sig selv til et system, som intrenat.exe og gemmes i windows systemmappen. Den binære fil har en størrelse på 36,864 bytes.

Den nye variant i Mydoom familien adskiller sig markant fra tidligere udgaver. Den nye udgave gør ikke længere brug af ROT13 kryptering af UPX headeren, hvilket formentligt er undladt i det den ikke længere skal distribueres via e-mail eller P2P netværket KaZaa. Af uransagelige årsager har forfatteren valgt at distribuere den komplette kildekode til W32.Mydoom-A.worm. Kildekoden kopieres til inficerede systemer sammen med W32.Mydoom-C.worm.

Når ormen har kopieret sig selv automatisk, til et allerede inficeret system, vil den afvikles og via en mutex "sync-Z-mtx_133" sikre, at der ikke allerede kører en kopi af koden i hukommelsen.

Den modificerer dernæst registreringsdatabasen med følgende runas værdi: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Gremlin=[%systemmappen%]\intrenat.exe

Dette for at sikre, at ormen aktiveres ved en genstart af systemet. W32.Mydoom-C.worm vil herefter igangsætte scanning mod andre systemer hvor den kan sprede sig til. Det sker ved at scanne tilfældige IP adresser på TCP port 3127.

Denne variant er tilsyneladende blevet sendt i omløb hen over weekenden og har sandsynligvis allerede opnået en rimelig effektiv spredning. Det vurderes, at truslen er største for private brugere, som allerede er inficeret af Mydoom-A, eller Mydoom-B og som sådan ikke er beskyttet af et opdateret antivirus program. Den primære payload i W32.Mydoom-C.worm, er at igangsætte det DDoS angreb mod www.microsoft.com som blev forsøgt i B-varianten og som fejlede grundet mangelfuld spredning. Det er muligt, at denne variant vil have mere "held" med at forvolde skade mod www.microsoft.com end forgængeren. Payloaden har ingen udløbsdato og igangsættes med det samme. Angrebet vil dog forværres efter den 12. Februar 2004, hvor payloaden starter et stort antal tråde mod www.microsoft.com og uden indbygget forsinkelse.

Denne trussel kan fjernes ved at foretage en ctrl+alt+delete og afslutte jobbet: "intrenat.exe". Dernæst bør man manuelt slette filen fra windows systemmappen og genstarte systemet.

Da W32.Mydoom-C.worm opnår adgang til systemer via en bagdør efterladt af Mydoom varianterne anbefales det, at inficerede systemer installerer og vedligeholder et antivirus produkt.

Krusesecurity/CSIS anbefaler, at ISP´ere lukker for indgående trafik til TCP port 3127. Privat personer kan opnå samme effekt ved at installere en personlig firewall.

Bemærk, at der allerede er flere former for ondsindet kode i omløb, som drager nytte af den bagdør som er installeret af W32.Mydoom-A og B.



 
 
Bedømmelse

Fra : 2243


Dato : 11-02-04 08:34



Bedømmelse

Fra : dk


Dato : 11-02-04 08:39



Bedømmelse

Fra : nenita


Dato : 11-02-04 08:57



Bedømmelse

Fra : CLAN


Dato : 11-02-04 09:40



Bedømmelse

Fra : ehawk


Dato : 11-02-04 10:01



Du har følgende muligheder
Eftersom du ikke er logget ind i systemet, kan du ikke lave en bedømmelse til dette tip.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.
Søg
Reklame
Statistik
Spørgsmål : 177577
Tips : 31968
Nyheder : 719565
Indlæg : 6409071
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste