Nízké nebezpečí – červ HLLW.Deadhat

Nově se šířícího červa HLLW.Deadhat můžeme zaznamenat také pod jeho alternativním jménem Vesser. Po spuštění se na napadeném počítači snaží deaktivovat červa Mydoom.A a Mydoom.B. Následně se šíří na další systémy napadené tímto červem.

Červa můžete najít jako soubor sms.exe o velikosti 55 kB v systémovém adresáři Windows.

Pokud na lokálním počítači dojde ke spuštění červa HLLW.Deadhat, provedou se následující operace:

  1. Červ zobrazí dialogový box s textem "Corrupted File", "Error executing program!".
  2. Červ sám sebe nakopíruje do adresáře System v adresáři Windows pod jménem sms.exe.
  3. Do systémového registru přidá položku "KernelFaultChk"="%System%\sms.exe" do klíče HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run, čímž si zajistí automatické spuštění po restartu systému.
  4. Červ zjistí, zda je na počítači dostupná složka využívaná ke sdílení dat systémem Soulseek file-sharing. Pokud ji najde, nakopíruje se do ní pod jedním z následujících jmen souborů:

Windows2003Keygen.exe 
mIRC.v6.12.Keygen.exe 
Norton.All.Products.KeyMkr.exe 
F-Secure.Antivirus.Keymkr.exe 
FlashFXP.v2.1.FINAL.Crack.exe 
SecureCRTPatch.exe 
TweakXPProKeyGenerator.exe 
FRUITYLOOPS.SPYWIRE.FIX.EXE 
ALL.SERIALS.COLLECTION.2003-2004.EXE 
WinRescue.XP.v1.08.14.exe 
GoldenHawk.CDRWin.v3.9E.Incl.Keygen.exe 
BlindWrite.Suite.v4.5.2.Serial.Generator.exe 
Serv-U.allversions.keymaker.exe 
WinZip.exe 
WinRar.exe 
WinAmp5.Crack.exe

Na TCP portu 2766 sleduje příchozí spojení. Pokud se vzdálený klient připojí na tento port a odešle spustitelný kód, červ ho automaticky spustí.

Červ se z důvodů vlastního maskování pokouší ukončit následující procesy, které většinou patří antivirovým programům  nebo firewallům: 

    1. _avp 
      kfp4gui 
      kfp4ss 
      zonealarm 
      Azonealarm 
      avwupd32 
      avwin95 
      avsched32 
      avp 
      avnt 
      avkserv 
      avgw 
      avgctrl 
      avgcc32 
      ave32 
      avconsol 
      apvxdwin 
      ackwin32 
      blackice 
      blackd 
      dv95 
      espwatch 
      esafe 
      efinet32 
      ecengine 
      f-stopw 
      frw 
      fp-win 
      f-prot95 
      f-prot95 
      f-prot 
      fprot 
      f-agnt95 
      gibe 
      iomon98 
      iface 
      icsupp 
      icssuppnt 
      icmoon 
      icmon 
      icloadnt 
      icload95 
      ibmavsp 
      ibmasn 
      iamserv 
      iamapp 
      kpfw32 
      nvc95 
      nupgrade 
      nupdate 
      normist 
      nmain 
      nisum 
      navw 
      navsched 
      navnt 
      navlu32 
      navapw32 
      zapro

Pokusí se ukončit následující procesy spojené s červem Mydoom:

document 
readme 
doc 
text 
file 
data 
test 
message 
body 
taskmon 
xsharez_scanner 
BlackIce_Firewall_Enterpriseactivation_crack 
zapSetup_95_693 
MS59-56_hotfix 
winamp0 
NessusScan_pro 
attackXP-6.71

Pokusí se deaktivovat červa Mydoom pomocí odebrání následujících záznamů ze systémového registru Windows:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\TaskMon

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Explorer

HKEY_CURRENT_USER\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InprocServer32

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InprocServer32

Prochází síť a hledá počítače nakažené červem Mydoom. Pokouší se spojit na generované IP adresy přes porty 3127, 3128 a 1080. Pokud se mu podaří navázat spojení, zašle svoji kopii, aktivuje ji a tím prakticky na vzdáleném počítači vymění sebe za červa Mydoom.

Červ se dále připojí na IRC server, kde čeká na další instrukce od potenciálního útočníka.

Červ je schopen šíření na systémech Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP a Windows Server 2003.

Jak je vidět z vlastního popisu, cílovými počítači pro útok jsou systémy napadené červem Mydoom -  pro šíření je zneužita bezpečnostní díra, kterou tento červ vytváří. Většina nových aktualizačních souborů pro antiviry již v sobě zahrnuje detekční vzorek pro odhalení tohoto červa. A nezapomeňte, že jen antivir nestačí. Také kvalitní firewall by v dnešní době měl být povinnou výbavou stanic připojených do sítě.

Zdroj: Symantec

Diskuze (10) Další článek: Microsoft Small Business Server už i v češtině

Témata článku: Microsoft, Windows, Červ, Nebezpečí, Nebe, Dialog box


Určitě si přečtěte

Otestovali jsme 8 mobilů do 8 000 Kč: rozdíly ve výkonu jsou ohromné

Otestovali jsme 8 mobilů do 8 000 Kč: rozdíly ve výkonu jsou ohromné

** Mobil za 8 000 Kč uspokojí většinu uživatelů ** Klasické foťáky stačí, širokáče ale zklamaly ** Zásadní jsou rozdíly ve výkonu

Časopis Computer | 5

Nejjednodušší cesta, jak nepřijít o data: nastavte si zálohování a zapomeňte

Nejjednodušší cesta, jak nepřijít o data: nastavte si zálohování a zapomeňte

** Přijít o důležitá data je jednodušší, než si umíte představit ** To, zda a jak snadno je získáte zpět, záleží především na vás ** Když si nastavíte zálohování, může to být otázka několik minut

Karel Kilián | 33

Teď už Chromium ovládne Windows 10 úplně. Microsoft dokončil WebView2

Teď už Chromium ovládne Windows 10 úplně. Microsoft dokončil WebView2

** Před dvěma lety se Microsoft zasnoubil s Chromem ** Nový Edge není zdaleka jejich jediné dítě ** Ještě důležitější je komponenta WebView2

Jakub Čížek | 50


Aktuální číslo časopisu Computer

Megatest mobilů do 5 500 Kč

Test levných herních notebooků

Hrajeme na Xbox Series X

Programy pro kontrolu dětí na počítači