SG.hu

Közepesen veszélyes a Sasser.d féreg

Az AVERT, a Network Associates vírusszakértői csoportja a "közepesen veszélyes" kategóriába sorolta a W32/Sasser.worm féreg d változatát.

A Sasser.worm.d a múlt héten felfedezett vírus legújabb változata, amely a Microsoft MS04-011 kódjelű sérülékenységét használja ki. A közlemény szerint az új variáns az otthoni és a vállalati felhasználók számára egyaránt közepes veszélyt jelent. A besorolást az előfordulások gyakorisága tette indokolttá. A vírus a Microsoft MS04-011 kódjelű sérülékenységét használja ki, lassan de teljesen automatikusan terjed, és az internethez csatlakoztatott számítógépek véletlenszerűen generált IP című, frissítetlen Windows 2000 és XP rendszereit próbálja megfertőzni.

Ha a vírus egy védtelen gépet talál, parancssori hozzáférést nyit a 9995-os TCP porton, majd FTP segítségével a gépre tölti magát. Ezután létrehoz egy FTP kódot (cmd.ftp) a távoli szerveren, és lefuttatja azt. Ez az FTP program utasítja a fertőzött rendszert, hogy töltse le, (és hajtsa végre) a programot az 5554-es FTP porton. A vírus SKYNETAVE.EXE néven másolja magát a Windows rendszerkönyvtárba:
  • %WinDir%\ SKYNETAVE.EXE

    A következő indításkor a vírus az alábbi kulcs segítségével tölti be magát:
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "skynetave.exe" = %WinDir%\skynetave.exe

    A Sasser.worm.d egy win2.log nevű fájlt is létrehoz a C: meghajtón. Ez a fájl tartalmazza a localhost IP címét. Már a véletlenszerű keresés is a rendszer összeomlását okozhatja - ilyenkor Windows 2000 esetén felbukkan egy 60 másodperces visszaszámlálást jelző ablak:


    A Windows XP rendszereken a következő hibaüzenet jelenik meg:

  • Hozzászólások

    A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
    Bejelentkezéshez klikk ide
    (Regisztráció a fórum nyitóoldalán)
    Nem érkezett még hozzászólás. Legyél Te az első!