Windows sebezhetőséget MS08-067 kihasználva hálózatokon, valamint usb és egyéb eszközökön, meghajtókon terjed, illetve gyenge adminisztrátori jelszavakat kitalálva is képes terjedni.
Futása során leállítja a Windows Update és egyéb service-ket, számos (főleg antivírus) web oldalakat elérhetetlenné tesz.
Lemásolja magát a system, vagy a Program Files\Internet Explorer vagy a Program Files\Movie Maker mappába véletlen névvel és .dll kiterjesztéssel.
Alapértelmezésben a TCP 139, 445 portokon keresztül igyekszik sebezhető számítógépet találni -ha sikerül fel is települ.
Az alábbi kulcs alatt:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL
Létrehozza az alábbi regisztrációs bekegyzést:
"CheckedValue" = 0
így a rejtett állományok láthatatlanná válnak a felhasználó számára.
Az alábbi kulcs alatt:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Létrehozza az alábbi regisztrációs bekegyzést:
"<véletlen karakterek>" "rundll32.exe <system mappa>\<vírus neve>.dll,<vírus paraméterei>"
bejegyzi magát szervíz folyamatként
HKLM\SYSTEM\CurrentControlSet\Services
Megváltoztatja a TCP/IP beállításokat az alábbi regisztrációs kulcs alatt:
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
Regisztrálásakor az elnevezés több szó kombinációjából tevődhet össze: (Boot, Center, Config, Driver, Helper)
Védekezés:
MS08-067-es javító csomag telepítve legyen.
Gyenge jelszavak használatának elkerülése.
Autoplay funkció megváltoztatása (kikapcsolása).
Használjunk tűzfalat.
|
Alacsony
