DoS támadások Dopbot féreggel

Olvasóink értékelése: 0 / 5

Csillag inaktívCsillag inaktívCsillag inaktívCsillag inaktívCsillag inaktív
A W32.Dopbot féreg elosztott szolgáltatásmegtagadási támadások kezdeményezését teszi lehetővé.Vírushírek a Biztonságportál támogatásával.

A W32.Dopbot féreg hátsó kaput nyit a fertőzött számítógépeken, majd elosztott szolgáltatásmegtagadási (DDoS) támadások kezdeményezésére ad lehetőséget. A féreg elsősorban a Microsoft Windows DCOM RPC (MS03-026) sérülékenységet használja ki a terjedéséhez. A W32.Dopbot további veszélye, hogy a regisztrációs adatbázis számos bejegyzésének megváltoztatásával jelentősen csökkenti a Windows biztonsági szintjét.

Amikor a W32.Dopbot elindul, akkor az alábbi műveleteket hajtja végre:

1. Bemásolja magát a Windows System könyvtárába rund1132.exe néven.

2. Létrehoz egy "dopebot 0.2 by dope" nevű mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a rendszerben.

3. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
kulcsaihoz hozzáadja a
"rund1132.exe" = "%System%\\\und1132.exe" értéket.

4. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
kulcsához hozzáadja az
"EnableDCOM" = "Y" értéket.

5. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
kulcsához hozzáadja a
"restrictanonymous" = "dword:00000000" értéket.

6. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
kulcsához hozzáadja a
"DoNotAllowXPSP2" = "0x00000001" értéket.

7. Módosítja a regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
kulcsában szereplő
"AntiVirusDisableNotify" = "0x00000001"
"FirewallOverride" = "0x00000001"
"AntiVirusOverride" = "0x00000001"
"UpdatesDisableNotify" = "0x00000001"
"FirewallDisableNotify" = "0x00000001" értékeket.

8. Módosítja a regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
WindowsUpdate\Auto Update
kulcsában szereplő
"AUOptions" = "0x00000001" értéket.

9. Módosítja a regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\
DomainProfile
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\
StandardProfile
kulcsaiban szereplő
"EnableFirewall" = "0x00000000" értéket.

10. Módosítja a regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
kulcsaiban szereplő
"Start" = "0x00000004" értéket.

11. Megszünteti az alábbi hálózati megosztásokat:
C$ - Z$
Admin$
IPC$
Print$.

12. Letölti, majd futtatja a Microsoft MS04-011 frissítését.

13. Nyit egy hátsó kaput, amelyen keresztül fogadja a támadók parancsait. ők az alábbi műveleteket végezhetik el a fertőzött számítógépeken:
- folyamatok listázása és leállítása
- billentyűzet figyelése
- fájlok elindítása, és törlése
- fájlok letöltése
- elosztott szolgáltatásmegtagadási támadások kezdeményezése
- a féreg eltávolítása.

A CherryOS nyílt forráskódú lesz - frissítve

Olvasóink értékelése: 0 / 5

Csillag inaktívCsillag inaktívCsillag inaktívCsillag inaktívCsillag inaktív
Úgy tűnik, a fejlesztőknek nem volt más választásuk: nyílt forráskódú lesz a CherryOS Mac emulátor.

Kis történetünk 2004 végén kezdődik: egy teljesen ismeretlen cég, a Maui X-Stream bejelenti, hogy hamarosan kiadja a CherryOS-t, amely segítségével Mac OS X-et futtathatunk PC-nken. Habár az ígéreteket, miszerint például akár az eredeti sebesség 80%-át is elérhetjük, sokan kétkedve fogadják, a CherryOS mégis megjelenik - és elkezdődik a botrány.

Élelmes emberek ugyanis hamarosan rájönnek a "véletlen" hasonlóságra a PearPC-vel. Sőt, közelebbről megnézve kiderül, hogy az egész nem más, mint a KörtePC egy módosítása, és egy szép külső ráhúzása, ami még nem is volna baj. Az viszont igen, hogy pénzért adják (először 50, majd 100 dollárért), forráskód nélkül, erősen megsértve ezzel a GPL-licencet. Különböző közjátékok után végül a PearPC-sek feljelentették a Maui X-Streamet, a CherryOS weboldala lekerült - pontosabban egy egyszerű oldal lett belőle, miszerint "nem tudjuk, mi lesz, majd szólunk" -, és elérkezve a jelenbe érkezett a fordulat: a program weboldalán újabban egy érdekes üzenet olvasható: Május elseje alkalmából kiadják a CherryOS forráskódját. Úgy tűnik, a fejlesztőknek ez az egyetlen esélye arra, hogy valahogy megússzák a perben a komolyabb büntetést -- mindenesetre várjuk a további fejleményeket.

Azok a bizonyos további fejlemények hamarabb érkeztek mint gondoltuk, hála a Neowin.net-nek. Az "Open Source"-ot a Maui X-es srácok elég furcsán értelmezik: a forráskód nyílt bárkinek - aki hajlandó kifizetni érte 15 amerikai dollárt, ők ugyanis megalkották a saját licenszüket a GNU GPL helyett. Az így megszerzett kódot szabadon módosíthatjuk, amíg azt nem rakjuk bele egy másik kereskedelmi programba.

A CherryOS nyílt forráskódú lesz - frissítve

Víruskeresőket hatástalanít egy féreg

Olvasóink értékelése: 0 / 5

Csillag inaktívCsillag inaktívCsillag inaktívCsillag inaktívCsillag inaktív
A Himu.A féreg meglehetősen gyorsan képes terjedni, és számos kártékony műveletet végez el a fertőzött számítógépeken. Elsősorban a biztonsági szoftverek hatástalanítása a célja.

A Himu.A féreg leggyakrabban hálózati megosztásokon valamint elektronikus leveleken keresztül terjed. A féreg amint elindul egy számítógépen, akkor megjelenít egy üzenetablakot, és rögtön ezután számos fájlt hoz létre. Majd a regisztrációs adatbázis módosításával számos kellemetlenséget okoz, ugyanis a biztonsági szoftvereket igyekszik hatástalanítani. Több gyártó termékét is képes kikapcsolni, de különös figyelmet fordít a McAfee és a Norton AntiVirus szoftverekre valamint a Windows Biztonsági központjára. Ezt követően arról is gondoskodik, hogy a Windows hosts fájljának módosításával elérhetetlenné tegye a biztonsági cégek weboldalait a fertőzött rendszerekről.

A Himu.A az Internet Explorer Kedvencek menüjét néhány újabb hivatkozással bővíti ki. Ezt követően kezdi meg a terjedését a helyi hálózaton, illetve az elektronikus leveleken keresztül.

Amikor a Himu.A féreg elindul, akkor az alábbi műveleteket hajtja végre:

1 Megjelenít egy "Compressed (zipped) Folders Error" címsorral rendelkező üzenetablakot, amely a "The Compressed (zipped) Folder is invalid or corrupted" szöveget tartalmazza.

2. Létrehozza a következő állományokat
%UserProfile%\Start Menu\Programs\Startup\SERVIC3S.exe
%ProgramFiles%\WindowsUpdate\System Security\passwordlist.exe
%ProgramFiles%\WindowsUpdate\System Security\Updates.tmp\bangladesh.exe
%ProgramFiles%\WindowsUpdate\System Security\Updates.tmp\love.exe
%ProgramFiles%\WindowsUpdate\System Security\usernames.exe
D:\SystemVoliumeInfo\services.exe
D:\SystemVoliumeInfo\Mails\asdf45396ftADMIN.exe
D:\SystemVoliumeInfo\Mails\USERNAE485369KD5L.exe
D:\SystemVoliumeInfo\Mails\STATUSreport252.exe
D:\SystemVoliumeInfo\Mails\global_report.exe
D:\SystemVoliumeInfo\Mails\BBCandCNNreport.exe

3. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzést:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Run"Microsoft Himu" = "D:\SystemVoliumeInfo\services.exe"

4. Leállítja a biztonsági szoftverekhez tartozó folyamatokat.

5. Új sorokat fűz hozzá a Windows hosts fájljához, amellyel a fertőzött számítógépekről elérhetetlenné teszi a biztonsági cégek weboldalait.

6. Módosítja a regisztrációs adatbázis következő bejegyzéseit.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\policies\Explorer"RestrictRun" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\policies\Explorer"RestrictRun1" = "msconfig.exe"

7. A regisztrációs adatbázisban létrehozza az alábbi kulcsot:
HKEY_LOCAL_MACHINE\SOFTWARE\Razaker

8. Hatástalanítja a McAfee biztonsági szoftvereit.


9. Kikapcsolja a Windows Biztonsági központját a regisztrációs adatbázis módosításával:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center"AntiVirusDisableNotify" = "00000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center"AntiVirusOverride" = "00000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center"FirewallDisableNotify" = "00000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center"FirewallOverride" = "00000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center"UpdatesDisableNotify" = "00000000"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa"l imitblankpassworduse" = "0x00000000"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Ls a"limitblankpassworduse" = "0x00000000"

10. Kikapcsolja a Norton Anti-Virus Script Blocking funkciót.

11. Új bejegyzéseket vesz fel az Internet Explorer Kedvencek menüjébe.

12. Minden elérhető meghajtóra felmásolja az alábbi állományokat:
[meghajtó betűjele]:\New Compressed (zipped) Folder.exe
[meghajtó betűjele]:\kills.bat
[meghajtó betűjele:\format.bat

13. Másolatokat készít önmagából a következő fájlnevek felhasználásával:
Aupee Karim Pics.exe
download.exe
List of the musick.exe
LoveStory.exe
Lyrics Of Papercut.exe
MusicList.exe
readme2006.exe
window shopper.exe

14. A hálózaton megosztott mappákba bemásolja saját magát.

15. Létrehoz egy D:\SystemVoliumeInfo\\\ab.bat fájlt, amelynek révén „ping flood” támadásokat kezdeményez egy előre meghatározott weboldal ellen.

16. Különböző kiterjesztésű állományokban email címeket keres. Ezekre továbbküldi saját magát.
A fertőzött levelek tárgya lehet:

  • Reminder to be aware of TERRORISM
  • Don\\''t be another victim..!!
  • RAPID ACTION BATALION
  • HELP US FOR REMOVE THE TERRORISM

A fertőzött levelek mellékletéhez tartozó fájlok neve az alábbi listából kerül ki:

  • asdf45396ftADMIN.exe
  • USERNAE485369KD5L.exe
  • STATUSreport252.exe
  • global_report.exe
  • BBCandCNNreport.exe.

62 kép a Windows Vista legújabb verziójából

Olvasóink értékelése: 0 / 5

Csillag inaktívCsillag inaktívCsillag inaktívCsillag inaktívCsillag inaktív
Az 5308-as Windows Vista már előreláthatólag nem bővül új funkciókkal, így a friss képek az eddigiekhez képest már sokkal pontosabban vetítik előre a végleges változat kinézetét.

A fotókon megismerkedhetünk az új felhasználói felület látványos elemeivel:


62 kép a Windows Vista legújabb verziójából


62 kép a Windows Vista legújabb verziójából


62 kép a Windows Vista legújabb verziójából

A további képek elérhetők ezen a címen.