Összefoglaló
A Docergas féreg hordozható meghajtókon igen gyorsan terjedő káros kód.
Leírás
A Docergas féreg működése során Word dokumentumok, valamint Excel és PDF állományok nevét használja fel arra, hogy a saját, kártékony fájljait álcázza. Valamint annak érdekében, hogy a különböző műveleteit álcázza képes manipulálni a Windows fájlok, illetve könyvtárak megjelenítésével kapcsolatos beállításait.
Technikai részletek:
1. Létrehozza a következő állományt:
%Windir%$NtUnistall850730$
2. A Windows, illetve annak rendszerkönyvtárába bemásolja az alábbi fájlokat:
%Windir%$NtUninstallKB892345$log.log
%System%mm.log
3. A regisztrációs adatbázishoz hozzáadja a következő bejegyzéseket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
ExplorerAdvanced”Hidden” = “0”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
ExplorerAdvanced”HideFileExt” = “1”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
ExplorerAdvancedFolderHiddenSHOWALL”CheckedValue” = “0”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
ExplorerAdvancedFolderHideFileExt”UncheckedValue” = “1”
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon”Userinit” = “%System%userinit.exe,%System%REGTLIB.exe,”
4. A cserélhető meghajtókon felkutatja az alábbi kiterjesztésekkel rendelkező állományokat:
.doc
.docx
.xls
.xlsx
5. Az alábbi könyvtárba új fájlokat hoz létre:
%Windir%$NtUnistall850730$
6. Másolatokat készít a %System%userini.exe fájlról. Ehhez olyan fájlneveket használ fel, melyeket korábban a .doc és .docx kiterjesztésű állományok felkutatásakor gyűjtött össze.
7. Különféle állományokat másol fel a cserélhető adathordozókra.
Megoldás
Legyen naprakész tűzfala és vírusirtója.
Támadás típusa
Hijacking (Visszaélés)Information disclosure (Információ/adat szivárgás)
Szükséges hozzáférés
Physical/Console (Fizikai/konzol)Hivatkozások
Egyéb referencia: www.symantec.com