Szerző: Ady Krisztián

2002. október 1. 10:57

Veszélyes féregvírus terjed, amely beépített kémprogram lehetőségekkel rendelkezik és a begépelt jelszavakat is naplózza

[2F 2000] Újabb veszélyes féregvírus ütötte fel a fejét internet-szerte. A Tanatos/Bugbear néven ismert, Microsoft Outlook, Outlook Express levelezőprogramon keresztül terjedő kórokozó beépített trójai (kémprogram) lehetőségekkel rendelkezik, többek között a begépelt szöveget (így a jelszavakat is) naplózza.

[2F 2000] Újabb veszélyes féregvírus ütötte fel a fejét internet-szerte. A "Tanatos/Bugbear" néven ismert, Microsoft Outlook, Outlook Express levelezőprogramon keresztül terjedő kórokozó beépített trójai (kémprogram) lehetőségekkel rendelkezik, többek között a begépelt szöveget (így a jelszavakat is) naplózza.

A féreg mérete mindössze 50688 bájt, így könnyedén terjedhet levelek mellékleteként, véletlenszerű fájlneveket használva. Megtévesztés céljából több kiterjesztése is lehet a fertőzött fájlnak, így az igazi típus Windows alatt alapesetben el van rejtve. A levelek tárgysora és törzse (szövege) is változó, így ez nem nyújt igazi segítséget a szűréshez.

A víruskód a közismert I-Frame.exploit microsoftos böngészőhiba felhasználásával megpróbál automatikusan lefutni az Outlook/Outlook Express levelezőrendszerek betekintő ablakában. Ha a féreg bejutott a gépre, változó neveken (pl. JFMV.EXE) másolja be magát a Windows rendszerkönyvtárba és létrehozza a kódot rendszerindításkor lefuttató regisztrációs bejegyzést:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce]

Ugyancsak telepítésre kerül egy kémkomponens, amely a billentyűleütéseinket naplózza, ennek neve is változó (pl. ZLQPUPP.DLL). Két másik, a Tanatos által létrehozott DLL állomány funkciója még nem ismert közelebbről, ezekben kódolt adatok vannak. További két fájl (.DAT típusúak) a Windows gyökérkönyvtárába kerül.

A kártevő megpróbál vérfürdőt rendezni a gépünkre telepített biztonsági szoftverek között: ha megtalálja, letiltja azok működését a memóriában. Így ha víruskeresőnk adatállománya a fertőzési kísérlet pillanatában régi volt, és még nem ismerte a Tanatost, a gép megfertőződhet, és ezután az internetes féreg a víruskereső kikapcsolásával utat nyithat akár a régebbi kártevők bejutása előtt is. Ezért fontos, hogy mihamarabb adatbázist frissítsünk, és ezt a tevékenységet rendszeresen végezzük.

A trójai komponens a 36794-es TCP porton hallgatózik és lehetővé teszi, hogy távolról bejussanak gépünkre, majd azon keresztül a helyi hálózatra, amelyre kapcsolódik. A Tanatos internetes féreg ehhez egyszerűen kezelhető webes felületet kínál, ezért veszélyes fegyver lehet kevésbé képzett hackerek (script kiddie) kezében is.

A féregről további információ olvasható angol nyelven az F-Secure, valamint a Symantec honlapján.

Kubernetes képzéseinket már közel 300 szakember végezte el. A nagy sikerre való tekintettel a tanfolyamot aktualizált tananyaggal június 18-án újra elindítjuk! A 8 alkalmas, élő képzés képzés órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról