Tech Fájlcserél?kön is gyorsan terjed az Extrat féreg

A témát ebben részben 'Hírek a Nagyvilágból' Atlantisz hozta létre. Ekkor: 2012. november 15..

  1. Atlantisz

    Atlantisz /

    Csatlakozott:
    2010. augusztus 02.
    Hozzászólások:
    3,121
    Kapott lájkok:
    21
    Beküldött adatlapok:
    0
    Az Extrat féreg cserélhet? adathordozókon és fájlcserél?kön is terjed. A célja, hogy kiszolgáltatottá tegye a számítógépeket az internetes támadásokkal szemben.

    Az Extrat féreg meglehet?sen gyors terjedésre képes. Annak érdekében, hogy minél több számítógépre kerüljön fel, kétféle terjedési módszert alkalmaz. Egyrészt megkísérel cserélhet? adattárolókon, például pendrive-okon keresztül átkerülni egyik rendszerr?l a másikra. Emellett pedig a fájlcserél?ket sem hagyja érintetlenül. A fert?zött PC-ken megkeresi a fájlcserél? alkalmazásokhoz tartozó, megosztott könyvtárakat, és ha talál ilyeneket, akkor a saját fájljait bemásolja azokba.

    Az Isidor Biztonsági Központ közleménye kitért arra, hogy az Extrat egy olyan hátsó kaput létesít a fert?zött számítógépeken, amelyen keresztül a támadók többek között az alábbi tevékenységeket kezdeményezhetik:
    - fájlok elérése
    - tárolt jelszavak kiszivárogtatása
    - webkamerák bekapcsolása és megfigyelése
    - billenty?leütések naplózása
    - HTTP-proxy létrehozása
    - kapcsolódás távoli vezérl?szerverekhez.

    A féreg egyes esetekben olyan, távoli rendszerhozzáférésre lehet?séget adó eszközöket (RAT- remote access tools) is feltelepít a PC-kre, amelyek még inkább kiszolgáltatottá tudják tenni a már amúgy is fert?zött rendszereket.

    Amikor az Extrat féreg elindul, akkor az alábbi m?veleteket hajtja végre:

    1. Létrehozza a következ? állományt:
    %Windir%/installdir/server.exe

    2. A regisztrációs adatbázishoz hozzáf?zi az alábbi értéket:
    HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run/"Policies" = "%Windir%/installdir/server.exe"

    3. Nyit egy hátsó kaput, és várakozik a támadók parancsaira.

    4. Megfert?zi az iexplore.exe vagy egyéb folyamatokat.

    5. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a rendszeren.

    6. Megpróbál cserélhet? meghajtókon keresztül további számítógépekre felkerülni.

    7. Felkutatja a számítógépeken a fájlcserél? alkalmazásokhoz tartozó, megosztott mappákat, és ha talál ilyet, akkor azokba bemásolja a saját állományait.

    Kristóf Csaba, 2012. november 14.
    http://techcorner.hu/biztonsagportal/fajlcserelokon-is-gyorsan-terjed-az-extrat-fereg.html
     
    Atlantisz, 2012. november 15.
    #1