Trojan na Windows NT

Dr.WEB Polska poinformował o pojawieniu się w sieci konia trojańskiego, znanego jako Flooder.Boxed lub DdoS.Win32.Boxed.a. Podatnym systemem operacyjnym jest Win NT.

Nowy trojan jest programem typu Distributed Denial of Service, który przeprowadza atak SYN Flood na kilka serwerów w domenie bootcom.com. Powoduje to zablokowanie dostępu do wybranych serwisów internetowych, np.

images.gamemaniacs.org

secure.bootcom.com

pop3.bootcom.com

mail.bootcom.com

ftp.bootcom.com

www.bootcom.com

Trojan, uruchamia usługę Secure transactions provider, która staje się aktywna po każdym załadowaniu systemu. Dana usługa tworzy pięć wątków, z których każdy, z dużą częstotliwością przesyła pakiety TCP z flagą SYN na jeden z atakowanych serwerów. Powoduje to znaczne spowolnienie pracy sieci. Dodatkowo Boxed wyłącza usługi systemowe niektórych programów antywirusowych, których usługi mają następujące nazwy:

SAVScan

navapsvc

Symantec Core LC

wuauserv

kavsvc

Network Client

Network Client Monitor

Trojan modyfikuje również plik hosts, dodając do niego poniższe wpisy, czego efektem będzie brak dostępu do stron, których dotyczą wpisy:


127.0.0.1 ids.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 download.mcafee.com
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com

Źródło: Dr.WEB Polska