Trojan na Windows NT

Author: \ czerwiec 23, 2004 \ Aktualności \ 0 komenarzy

Dr.WEB Polska poinformował o pojawieniu się w sieci konia trojańskiego, znanego jako Flooder.Boxed lub DdoS.Win32.Boxed.a. Podatnym systemem operacyjnym jest Win NT.

Nowy trojan jest programem typu Distributed Denial of Service, który przeprowadza atak SYN Flood na kilka serwerów w domenie bootcom.com. Powoduje to zablokowanie dostępu do wybranych serwisów internetowych, np.

images.gamemaniacs.org

secure.bootcom.com

pop3.bootcom.com

mail.bootcom.com

ftp.bootcom.com

www.bootcom.com
Trojan, uruchamia usługę Secure transactions provider, która staje się aktywna po każdym załadowaniu systemu. Dana usługa tworzy pięć wątków, z których każdy, z dużą częstotliwością przesyła pakiety TCP z flagą SYN na jeden z atakowanych serwerów. Powoduje to znaczne spowolnienie pracy sieci. Dodatkowo Boxed wyłącza usługi systemowe niektórych programów antywirusowych, których usługi mają następujące nazwy:

SAVScan

navapsvc

Symantec Core LC

wuauserv

kavsvc

Network Client

Network Client Monitor
Trojan modyfikuje również plik hosts, dodając do niego poniższe wpisy, czego efektem będzie brak dostępu do stron, których dotyczą wpisy:
127.0.0.1 ids.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 download.mcafee.com
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com

Źródło: Dr.WEB Polska

Powiązane posty

Bezpieczeństwo Linux i Windows – wyniki testów

kwiecień 6, 2004

mega.com.pl – mega hacked !

grudzień 8, 2003

Era Hakera

październik 21, 2001

©2016 - Hacking.pl. Wszystkie prawa zastrzeżone ;-)