SzukajSzukaj
dołącz do nas Facebook Google Linkedin Twitter

Wirus omijający firewalla

Firma Kaspersky Lab informuje o pojawieniu się nowego wirusa

Nazywa się on Hacdef.b i potrafi ominąć zabezpieczenia w postaci firewalla (zapory ogniowej). Jest to robak typu backdoor działający wyłącznie w systemach Windows NT/2000/XP. Składa się z dwóch elementów - komponentu głównego (70 144 bajty) oraz pomocniczego (3 328). Szkodnik ma możliwość ukrywania procesu własnego oraz innych procesów, plików na dysku oraz wpisów rejestru systemowego.

Pliki backdoora mogą posiadać różne nazwy, jednak najczęściej pojawiają się jako:

Komponent główny:

isplog.exe

isplogger.exe

Biblioteka pomocnicza

isplogger.sys

hkrnlrdv.sys

hxdefdrv.sys

Po uruchomieniu backdoor rozpakowuje z własnego kodu bibliotekę pomocniczą i instaluje ją w folderze, z którego został uaktywniony. Szkodnik rejestruje się jako usługa o nazwie Minimal Network, która aktywowana jest wraz z każdym startem systemu Windows. Backdoor tworzy następujący klucz w rejestrze systemowym:

[HKLMSystemCurrentControlSetServicesSafeBoot

W celu ukrycia swojej obecności w zainfekowanym systemie backdoor przechwytuje funkcje API.

Szkodnik nie otwiera żadnych portów na zainfekowanym komputerze. Dzięki przejęciu powyższych funkcji API ma on możliwość monitorowania całego odbieranego ruchu sieciowego. W ten sposób backdoor wykrywa komendy wydawane przez zdalnego klienta. Po odebraniu odpowiedniego hasła szkodnik otwiera wybrany przez hakera port, co pozwala na uzyskanie pełnego dostępu do zaatakowanej maszyny. Sposób ten pozwala backdoorowi na omijanie ewentualnych zapór ogniowych zainstalowanych na zainfekowanych komputerach.

Newsletter WirtualneMedia.pl w Twojej skrzynce mailowej

Dołącz do dyskusji: Wirus omijający firewalla

0 komentarze
Publikowane komentarze są prywatnymi opiniami użytkowników portalu. Wirtualnemedia.pl nie ponosi odpowiedzialności za treść opinii. Jeżeli którykolwiek z postów na forum łamie dobre obyczaje, zawiadom nas o tym redakcja@wirtualnemedia.pl