Trojan na Windows NT

Author: \ czerwiec 23, 2004 \ Aktualności \ 0 komenarzy

Dr.WEB Polska poinformował o pojawieniu się w sieci konia trojańskiego, znanego jako Flooder.Boxed lub DdoS.Win32.Boxed.a. Podatnym systemem operacyjnym jest Win NT.

Nowy trojan jest programem typu Distributed Denial of Service, który przeprowadza atak SYN Flood na kilka serwerów w domenie bootcom.com. Powoduje to zablokowanie dostępu do wybranych serwisów internetowych, np.

images.gamemaniacs.org

secure.bootcom.com

pop3.bootcom.com

mail.bootcom.com

ftp.bootcom.com

www.bootcom.com
Trojan, uruchamia usługę Secure transactions provider, która staje się aktywna po każdym załadowaniu systemu. Dana usługa tworzy pięć wątków, z których każdy, z dużą częstotliwością przesyła pakiety TCP z flagą SYN na jeden z atakowanych serwerów. Powoduje to znaczne spowolnienie pracy sieci. Dodatkowo Boxed wyłącza usługi systemowe niektórych programów antywirusowych, których usługi mają następujące nazwy:

SAVScan

navapsvc

Symantec Core LC

wuauserv

kavsvc

Network Client

Network Client Monitor
Trojan modyfikuje również plik hosts, dodając do niego poniższe wpisy, czego efektem będzie brak dostępu do stron, których dotyczą wpisy:
127.0.0.1 ids.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 download.mcafee.com
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com

Źródło: Dr.WEB Polska

Powiązane posty

Microsoft Office System wprowadzony do sprzedaży

październik 22, 2003

Japońskie firmy powszechnie kontrolują e-maile swoich pracowników

listopad 12, 2002

Poczytaj.pl oraz V LO hacked

czerwiec 3, 2003

©2016 - Hacking.pl. Wszystkie prawa zastrzeżone ;-)