A Pushbot.TK féreg alapvetően két feladatot lát el. Egyrészt gondoskodik a terjedéséről, másrészt kiszolgáltatja a PC-ket az internetes támadásokkal szemben. Az első feladatának végrehajtása során először azonnali üzenetküldőkön keresztül próbál minél több számítógépre felkerülni. Többek között a Windows Live Messenger, a Yahoo! Messenger, az AIM és a Skype is hozzájárulhat a terjedéséhez. A féreg vagy fertőzött csatolmányokat fűz hozzá az üzeneteihez, vagy azokba kártékony weboldalakra mutató hivatkozásokat szúr be. Ezt követően felmásolja a saját állományait a cserélhető meghajtókra, valamint a fájlcserélő alkalmazások megosztott könyvtáraiba.
Az Isidor Biztonsági Központ közleménye rávilágít arra, hogy a Pushbot.TK egy hátsó kaput is létesít a fertőzött rendszereken, amelyen keresztül a támadók többek között az alábbi műveleteket hajthatják végre:
- fájlok letöltése és futtatása
- azonnali üzenetküldők címjegyzékéhez újabb bejegyzések hozzáadása
- elosztott szolgáltatásmegtagadási támadásokban való részvétel
- üzenetek küldése
- rendszerinformációk lekérdezése
- a féreg frissítése vagy eltávolítása.
Amikor a Pushbot.TK féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományt:
%windir%\sontiwin.exe
2. A fenti fájlt csak olvasható, rejtett és rendszer attribútumokkal látja el.
3. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Ci Servs="sontiwin.exe"
4. Átmásolja a saját állományát egy másik néven, majd az eredeti fájlt letörli.
5. Megjelenít egy üzenetablakot a következő szöveggel: "Picture can not be displayed."
6. Megpróbál az alábbi üzenetküldőkön keresztül tovább terjedni:
Windows Live Messenger
Yahoo Messenger
AIM
Az üzeneteihez egy zip kiterjesztésű állományt is mellékel, vagy egy kártékony weboldalra mutató hivatkozást helyez el azokban.
7. Megpróbál a Skype segítségével további számítógépekre felkerülni. Szintén ártalmas URL-ekkel ellátott üzeneteket küldözget a címlistában szereplő személyek számára.
8. Igyekszik cserélhető meghajtókon keresztül terjedni. Az adattárolók gyökérkönyvtárába létrehozza az alábbi mappát, illetve fájlokat:
%meghajtó betűjele%\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213
%meghajtó betűjele%\Desktop.ini
%meghajtó betűjele%\autorun.inf
9. Amennyiben a fertőzött rendszeren fut fájlcserélő alkalmazás, akkor annak megosztott könyvtárába bemásolja a saját állományát. Ennek megfelelően a következő mappákba kerülhet be:
%ProgramFiles%\Ares\My Shared Folder\
%ProgramFiles%\Direct Connect\Received Files\
%ProgramFiles%\KMD\My Shared Folder\
%ProgramFiles%\Rapigator\Share\
%ProgramFiles%\XoloX\Downloads\
%ProgramFiles%\Tesla\Files\
%ProgramFiles%\WinMX\My Shared Folder\
%ProgramFiles%\Swaptor\Download\
%ProgramFiles%\Overnet\incoming\
%ProgramFiles%\LimeWire\Shared\
%ProgramFiles%\appleJuice\incoming\
%ProgramFiles%\Filetopia3\Files\
%ProgramFiles%\ICQ\shared files\
%ProgramFiles%\Shareaza\Downloads\
%ProgramFiles%\BearShare\Shared\
%ProgramFiles%\eMule\Incoming\
%ProgramFiles%\Gnucleus\Downloads\
%ProgramFiles%\EDONKEY2000\incoming\
%ProgramFiles%\Morpheus\My Shared Folder\
%ProgramFiles%\Grokster\My Grokster\
%ProgramFiles%\Kazaa Lite\My Shared Folder\
%ProgramFiles%\Kazaa\My Shared Folder\
\My Shared Folder\
10. Nyit egy hátsó kaput a 6567-es TCP porton keresztül.
11. Leállítja az alábbi folyamatokat, amennyiben azok futnak:
msncleaner.exe
avp.exe
kav.esp
kav.eng
msconfig.exe
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.