Internetes támadásokhoz toboroz PC-ket a Kradellsh féreg

1
Kristóf Csaba
2011. február 4., 08:35
Nyomtatás
A Kradellsh féreg elosztott szolgáltatásmegtagadási támadásokba vonja be az általa megfertőzött számítógépeket.

A Kradellsh féreg egy meglehetősen alattomos kártékony program. Ennek az az oka, hogy tulajdonképpen észrevétlenül végzi a tevékenységét a fertőzött rendszereken, miközben a PC-ket internetes támadásokba vonja be. Mindezt anélkül teszi, hogy a felhasználó bármit is észrevenne.

Az Isidor Biztonsági Központ közleménye szerint a Kradellsh egy Windows-os szolgáltatás formájában fut az érintett rendszereken. A szolgáltatás nevét véletlenszerűen választja ki egy listából. Ezt követően csatlakozik előre meghatározott távoli szerverekhez, és nyit egy hátsó kaput. Amennyiben minden eddigi tevékenységét sikeresen végrehajtja, akkor várakozik a támadók parancsaira, akik alapvetően URL-eket továbbítanak a féregnek. A kártevő pedig szolgáltatásmegtagadási támadást indít-e weboldalak, illetve webszerverek ellen.

Amikor a Kradellsh féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
%System%\regedit32.exe
%System%\regedit325516.exe
%System%\regedut32.exe
%System%\Msierit32.exe
%System%\domain.exe

2. Létrehozza az alábbi fájlt:
%System%\drivers\beep.sys

3. A regisztrációs adatbázishoz hozzáfűzi a következő értékeket:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_BACKGROUND_SWITCH\"NextInstance" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_BACKGROUND_SWITCH\0000\"Class" = "LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_BACKGROUND_SWITCH\0000\"ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_BACKGROUND_SWITCH\0000\"ConfigFlags" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_BACKGROUND_SWITCH\0000\"DeviceDesc" = "[...]"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_BACKGROUND_SWITCH\0000\"Legacy" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_BACKGROUND_SWITCH\0000\"Service" = "[...]"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BackGround switch\"DisplayName" = "[...]"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BackGround switch\"ErrorControl" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BackGround switch\"ImagePath" = "[fájlnév]"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BackGround switch\"ObjectName" = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BackGround switch\"Start" = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BackGround switch\"Type" = "272"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BackGround switch\Security\"Security" = "[...]"

4. Létrehoz egy automatikusan elinduló szolgáltatást, amelynek neve az alábbi kifejezések közül kerül ki:
BackGround Switch Disktop Control
BackGround Switch Disktop Control5516
BackGroucd Switch Disktop Control
BackGround switch Disktop Control
domain Switch Disktop Control
Domain Switch Disktop Control

5. Minden cserélhető meghajtóra felmásolja az alábbi állományokat:
%meghajtó betűjele%\setup.exe
%meghajtó betűjele%\autorun.inf

6. Csatlakozik egy előre meghatározott távoli szerverhez.

7. Nyit egy hátsó kaput.

8. Fogadja a terjesztőinek parancsait, és elsősorban elosztott szolgáltatásmegtagadási támadásokban vesz részt.

Címkék:
Nyomtatás
Kapcsolódó hírek
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szerkesztőség és a szolgáltatás üzemeltetője semmilyen felelősséget nem vállal! A moderálási elvekbe ütköző hozzászólásokat szerkesztőségünk bármikor törölheti.

0 hozzászólás

Ehhez a cikkhez még nem érkezett hozzászólás.
ESET Online Vírusirtó
Céginfó hírek (x)

Kiadó
Partnereink
IDG Worldwide

© 1999-2012 IDG Hungary Médiaszolgáltató Kft. Minden jog fenntartva.