Jag har tidigare berättat om masken ZoTob, som utnyttjar en sårbarhet i plug-and-play-funktionaliteten i Windows. Antivirusföretagen McAfee och F-Secure har nu upptäckt en ny mask som utnyttjar samma lucka. De som inte installerat säkerhetsuppdateringarna från Microsoft kan leva farligt.
Masken, som av F-Secure döpts till IRCBot.es, och McAfee kallar den W32/IRCbot.worm!MS05-039, skapar en IRC-bot, ett slags program som används till IRC (Internet Relay Chat), och möjliggör därigenom fjärrstyrning. IRC-boten öppnar upp en bakdörr till systemet på porten 18067 och kan också försöka sprida sig till andra datorer. Bakdörren kopieras till %SYSTEM% katalogen i Windows med namnet mousebm.exe och beskriver sig själv som att tjänsten "Enables a computer to maintain synchronization with a PS/2 pointing device. Stopping or disabling this service will result in system instability".
När bakdörren nyttjas så ansluter den till antingen esxt.is-a-fag.net eller esxt.legi0n.net, där den går in i kanalen #2p med ett förbestämt löseord. Väl där så går det sedan att fjärrstyra de anslutna datorerna och få dem att göra en rad otyg så som att ladda ned och köra infekterade filer, dela ut filer från hårddisken och delta i olika typer av överbelastningsattacker.
För att skydda dig mot denna typ av attacker bör du besöka MS05-039.
Inlägg
Trojan:W32/Rabbad
6 år sedan
