Help!
-
cooldoc #2126 Worm.Win32.Randex
Nyomtatóbarát verzió
dátum: 2004 március
célpontok: osztott számítógépek a hálózaton
elterjedtség: gyakori
Részletes leírás
A Randex egy hálózati megosztásokon terjedő worm-család, melyet Microsoft Visual C++-ban írtak.
Futáskor kapcsolatot létesít a fertőzendő számítógéppel, majd bejegyzi a következő regisztrációs kulcsok egyikét:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
vagy
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
variánstól függően, más és más néven, pl.:
A variáns: hxedofos.exe,
B variáns: ns32.exe,
C variáns: msmsgr.exe,
D variáns: msmsgri32.exe,
E variáns: msmonk32.exe,
R variáns: musirc4.71.exe, stb.
Ezután megnyitja a 445 portot és véletlenszerűen generált IP címeken próbál kapcsolódni, különféle ismert jelszavakkal próbálkozva, pl.:
"", "admin", "root", "123", stb.
Ha sikerült kapcsolatot létesíteni, akkor bemásolja magát a Windows könyvtárba, variánstól függően a fenti neveken.
A worm kihasználja a WinNT távoli adminisztrációs szolgáltatást, így tud futni a fertőzendő számítógépen.
A Randex családba sok variáns tartozik, ezek működése lényegében ugyanaz.
Eltávolítás
1. Futtassuk a VirusBuster víruskereső programot, és hajtsunk végre teljes keresést a merevlemezen
2. Irtsuk a vírust az összes fertőzött fájlból
Jó irtást!