Worm otwierający port TCP na ataki hakerów
- Józef Muszyński,
- 09.07.2002, godz. 11:51
Firma Panda Software poinformowała o pojawieniu się nowego robaka internetowego o nazwie W32/Zoek, przenoszącego się za pomocą poczty elektronicznej. Zainfekowana wiadomość nosi tytuł Maxima Screensaver!, a tekst zachęca do wejścia na wskazaną stroną internetową i pobranie wygaszacza ekranu.
Firma Panda Software poinformowała o pojawieniu się nowego robaka internetowego o nazwie W32/Zoek, przenoszącego się za pomocą poczty elektronicznej. Zainfekowana wiadomość nosi tytuł Maxima Screensaver!, a tekst zachęca do wejścia na wskazaną stroną internetową i pobranie wygaszacza ekranu.
W rzeczywistości pod wskazanym adresem znajduje się robak internetowy, który dostaje się na komputer ofiary w momencie otwarcia strony. Po uaktywnieniu robak wyświetla komunikat o konieczności ponownego uruchomienia komputera. W systemie instalowany jest też koń trojański Bck/Zoek, który otwiera port 33530 TCP, umożliwiając hakerom zdalny dostęp do zasobów zainfekowanego komputera. Robak rozsyła swoje kopie pod wszystkie adresy znajdujące się w książce adresowej ofiary.
Zobacz również:
W32/Zoek został napisany w języku Borland Delphi i skompresowany za pomocą narzędzia UPX do rozmiaru 21 7600 Bajtów.
Wiadomość wygląda następująco:
Temat: Maxima Screensaver!
Treść: Tu znajduje się adres strony zawierającej konia trojańskiego.
Po uaktywnieniu W32/Zoek wymusza na użytkowniku restart systemu, wyświetlając informację:
One moment please
Windows Restart?
Po ponownym uruchomieniu komputer jest podatny na ataki hakerów (zostaje otwarty port 33530 TCP).