Szerző: Bodnár Ádám

2004. március 16. 08:58:11

Emailben terjed és hátsóajtó-programot telepít a Beagle féregvírus legújabb változata

2004. március 13-án késő este fedezték fel a Beagle.N nevű férget, amely e-mailben terjed és hátsóajtó programot próbál telepíteni a fertőzött rendszerekre. A kártevő korábbi, C variánsa programozása szerint március 14-éig működőképes, ezért minden bizonnyal állíthatjuk, hogy megérkezett a váltás.

2004. március 13-án késő este fedezték fel a Beagle.N nevű férget, amely e-mailben terjed és hátsóajtó programot próbál telepíteni a fertőzött rendszerekre. A kártevő korábbi, C variánsa programozása szerint március 14-éig működőképes, ezért minden bizonnyal állíthatjuk, hogy megérkezett a "váltás".

A féreg e-mailhez csatolt fájlként érkezhet gépünkre. A Beagle.N csak akkor aktivizálódik, ha a mellékletet kézzel lefuttatják. A UPX-szel tömörített fájlban a szakértők egy pillangóra emlékeztető ASCII grafikát is találtak.

A féreg átnézi a gépen található .adb, .asp, .cfg, .cgi, .dbx, .dhtm, .eml, .htm, .jsp, .mbx, .mdx, . mht, .mmf, .msg, .nch, .ods, .oft, .php, .sht, .shtm, .stm, .tbb, .txt, .uin, . wab, .wsh, .xls, .xml kiterjesztésű fájlokat és ezekből e-mail címeket gyűjt. A fertőzött leveleket saját SMTP motorja segítségével küldi el a címzetteknek. Olyan címekre azonban, amelyek tartalmazzák az @avp., @foo, @hotmail.com, @iana, @messagelab, @microsoft, @msn, abuse, admin, anyone@, bsd, bugs@, cafee, certific, contract@, feste, free-av, f-secur, gold-certs@, google, help@, icrosoft, info@, kasp, linux, listserv, local, nobody@, noone@, noreply, ntivi, panda, pgp, postmaster@, rating@, root@, samples, sopho, spam, support, unix, winrar, winzip karaktersorozatok valamelyikét, a kártevő nem küldi el magát.

A féreg hamisítja a levelek feladóját, tárgyat pedig egy belső listából választ. Annak ellenére, hogy a feladónál igazinak látszó címek láthatók (pl. a címzett domainének rendszergazdája), semmi esetre se dőljünk be a kártevőnek! A levelek törzsét a féreg szintén véletlenszerűen állítja össze egy igen méretes listából.

A Beagle.N egy hátsóajtó komponenst is telepít, mely jogosulatlan távoli hozzáférést engedélyez a fertőzött PC-khez a 2556-os TCP porton keresztül. Számos (elsősorban antivírus és tűzfal) szoftvert próbál meg leállítani a processzeik kilövésével. Fájl-megosztó hálózatokon is megpróbál terjedni, ha olyan mappát talál a merevlemezen, melynek nevében szerepel a "shar" karaktersorozat.

a címlapról

Hirdetés

Python everywhere!

2020. február 23. 19:02

Gyere Pythonozni a HWSW rendezvényeire! Megmutatjuk, hogy a Python nem csak a fejlesztők nyelve, hiszen egyszerűsége miatt előszeretettel használják az üzemeltetők és DevOps szakemberek, tesztelők, illetve az adattudósok is, és elfut szinte bárhol, a mikrovezérlőktől egészen a böngészőkig.