Összefoglaló
A Bokill.C féreg alapvetően háromféle terjedési módszert alkalmaz. Elsőként a cserélhető adattárolókra másolja fel az állományait, majd feltérképezi a hálózati megosztásokat, és a lehetőségeihez mérten azokra is elhelyezi a nemkívánatos fájljait. Mindezek mellett elektronikus levelekben is felütheti a fejét.
A Bokill egy Windows-os rendszerfájlnak próbálja álcázni magát, amelyet több könyvtárba is bemásol. Így például az átmeneti fájlok tárolására szolgáló mappába is. Ezt követően manipulálja a regisztrációs adatbázist, és értesíti a terjesztőit a fertőzésről. Ettől kezdve a webes adatforgalomba ágyazva fogadja a támadók parancsait, és esetenként adatlopást is elősegít.
Leírás
1. Létrehozza az alábbi állományokat:
%APPDATA%tjqwvyvhcdvsvchost.exe
%TEMP%652.exe
%TEMP%svchost.exe
2. A regisztrációs adatbázishoz hozzáadja a következő értéket:
HKLMsoftwaremicrosoftwindowscurrentversionrunMicrosoft=”%APPDATA%tjqwvyvhcdvsvchost.exe”
3. Különféle folyamatokat fertőz meg, és azok mögül végzi a feladatát.
4. Ellenőrzi, hogy van-e élő internetkapcsolat.
5. Csatlakozik egy távoli kiszolgálóhoz a 80-as TCP porton keresztül.
6. Jelenti a fertőzés megtörténtét a terjesztői számára.
7. Fogadja a terjesztői által kiadott utasításokat, amelyeket rögtön végrehajt.
8. Szerepet vállal adatszivárogtatásban.
9. Megpróbál cserélhető adathordozókon, illetve hálózati megosztásokon keresztül terjedni.
10. Megpróbál elektronikus levelek révén terjedni.
Megoldás
Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Manipulation of data
execute code
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Egyéb referencia: www.microsoft.com