Szerző: Bodnár Ádám

2003. március 10. 10:43

Veszélyes jelszókitaláló féreg jelent meg: Deloder

[Vírushíradó] A Deloder egy olyan Windowsos hálózati gépeket fertőző féreg, amelyiknél jelszó nélküli vagy könnyen kitalálható a választott adminisztrátori jelszó. A kártevő kéretlenül telepíti a VNC nevű távmenedzsment alkalmazást is, megnyitva így a gépet a külvilág számára.

[Vírushíradó] A Deloder egy olyan Windowsos hálózati gépeket fertőző féreg, amelyiknél jelszó nélküli vagy könnyen kitalálható a választott adminisztrátori jelszó. A kártevő kéretlenül telepíti a VNC nevű távmenedzsment alkalmazást is, megnyitva így a gépet a külvilág számára.

A féreg véletlenszerű IP címeket vizsgál, így próbál nyitott 445-ös porttal rendelkező Windowsos gépeket találni. A 445-ös port (Microsoft SMB megosztás TCP/IP segítségével) engedélyezi a kívülállóknak, hogy Windows megosztásokat érhessenek el.

A legtöbb vállalati számítógépen központilag vagy helyben telepített tűzfallal védekeznek, amely képes lezárni ezt a portot. Ám a legtöbb felhasználó láthatónak hagyja ezt a portot és ezzel sebezhetővé válik, ha a helyi adminisztrátori jelszó nem megfelelően erős.

Ha a féreg alkalmas gépet talál, megpróbál helyi adminisztrátorként belépni, ehhez az alábbi 50 különféle könnyen kitalálható, de sajnálatosan elég gyakori jelszót használ, pl. admin, 12345, abcd, root, foobar, mypc, sex, stb.

Ha a bejelentkezés sikeres, a féreg különböző indító mappákba másolja be magát (rendszerint INST.EXE néven) és létrehoz egy olyan registry kulcsot is, amellyel a "DVLDR32.EXE" állományt (ez szintén a féreg másolata) minden rendszerindításkor lefuttatja. A gép újraindítása után a féreg további megfertőzhető gépek után kezd kutatni.

A féreg elsődleges bináris futtatható állománya egy ASPack módszerrel tömörített programkód, amely végrehajtáskor kibocsát magából két további összetevőt: a "psexec.exe" és a "inst.exe" fájlt. Az INST.EXE ezenkívül további fájlokat hoz létre a rendszerben. A VNC szervert az alábbi elemek alkotják:

  • cygwin1.dll
  • explorer.exe
  • omnithread_rt.dll
  • VNCHooks.dll

A gépen keletkezik egy UPX segítségével összetömörített PSEXEC.EXE segédprogram (a sysinternal cégtől) és egy szintén UPX által tömörített RUNDLL32.EXE IRC trójai, amely egy 13 elemű listából véletlenszerűen kiválasztott szerverhez kapcsolódik. A fertőzés mellékhatásaként az is előfordulhat, hogy a korábban megosztott könyvtárakat nem tudjuk többé megosztani.

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról