Összefoglaló
A Dromedan féreg a Microsoft operációs rendszereit fertőző kártékony program, mely cserélhető adattárolók segítségével jut át egyik rendszerről a másikra.
Leírás
A Dromedan féreg a Microsoft operációs rendszereit fertőző kártékony program, mely cserélhető adattárolók segítségével jut át egyik rendszerről a másikra. Amikor a féreg elindul, a következő fájlokat hozza létre a fertőzött számítógépen:
%DriveLetter%removable drive.lnk
%DriveLetter%[véletlenszerű karakterek]. [Véletlenszerű karakterek] %DriveLetter%desktop.ini
%DriveLetter%thumbs.db
Ezután a féreg a Temp könyvtárba a következő fájlt másolja:
% Temp%TrustedInstaller.exe (Downloader.Dromedan)
Majd létrehozza az alábbi fájlt:
%SystemDrive%Documents and SettingsAll UsersLocal SettingsTemp[véletlenszerű karakterek]. Src
A féreg ezután létrehozza az alábbi bejegyzést azért, hogy a Windows következő betöltődésekor automatikusan el tudjon indulni:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun”62729″=”%SystemDrive%DOCUME~1ALLUSE~1LOCALS~1Temp[véletlenszerű karakterek]. Src“
Végül csatlakozik a következő kiszolgálóhoz: kitdual.com
Megoldás
Naprakész vírusírtó
Támadás típusa
Misconfiguration (Konfiguráció)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
http://www.symantec.com/security_response/writeup.jsp?docid=2013-102119-0540-99&tabid=2