ButterflyBot féreg

Mik azok a Botnet-ek ?

A botnet (robot network) zombi számítógépek hálózata. ( Wiki) részletesebben: katt.

A ButterflyBot.A féreg a fertőzött számítógépeket egy botnethez csatlakoztatja, és gondoskodik arról, hogy a lehető legváltozatosabb módon tudjon tovább terjedni.


A ButterflyBot.A féreg feladata, hogy a fertőzött rendszereken olyan módosításokat hajtson végre, amelyek eredményeként a PC-k egy botnet hálózathoz válnak csatlakoztathatóvá. Amennyiben a kártevőnek mindezt sikerül elérnie, akkor az áldozatául esett számítógép teljesen kiszolgáltatottá válik.


Az Isidor Biztonsági Központ közleménye szerint a ButterflyBot.A számos módon képes terjedni. Elsősorban a cserélhető meghajtókat választja újabb rendszerek megfertőzéséhez, de nem riad vissza az azonnali üzenetküldőkön valamint a fájlcserélő hálózatokon való terjedéstől sem. Amennyiben MSN Messengert észlel a PC-n, akkor a címjegyzékben szereplő személyek számára kártékony linkeket tartalmazó üzeneteket küld.


A ButterflyBot.A a Windows Feladatkezelőjében - az esetek többségében - nem látható, ugyanis az explorer.exe folyamat megfertőzésével próbál rejtve maradni a rendszereken. A kártékony program képes a saját állományainak rendszeres lefrissítésére, valamint a botnet üzemeltetőitől származó parancsok fogadására és végrehajtására.


Amikor a ButterflyBot.A féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományt:
C:\RECYCLER\[véletlenszerű karakterek]\SYSDATE.EXE

2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman = C:\RECYCLER\[véletlenszerű karakterek]\sysdate.exe

3. Megfertőzi az explorer.exe nevű folyamatot.

4. Interneten keresztül fájlokat tölt le.

5. Lefrissíti a saját állományait.

6. Bizalmas adatokat (például jelszavakat) gyűjt össze.

7. A fertőzött számítógépet egy botnethez csatlakoztatja.

8. Bemásolja a saját állományát a cserélhető meghajtók gyökérkönyvtárába, majd azokon egy AUTORUN.INF nevű fájlt is létrehoz.

9. Megpróbál MSN Messengeren keresztül tovább terjedni. A címjegyzékben szereplő személyek számára egy kártékony weboldalra mutató hivatkozást tartalmazó üzenetet küld ki.

10. Bemásolja magát a fájlcserélő alkalmazások megosztott könyvtáraiba. A fájljainak nevét jól ismert szoftverek nevéből képzi.

 

 
 

Harcolj a SPAM ellen pagerank Arctorna Buda Arctorna Magazin s Frum