SI-CERT 2003-02 / Črv Dloder

Črv Dloder se je pričel širiti v soboto, 8.3.2003, okuži pa lahko sisteme z operacijskim sistemom Windows 2000 ali Windows XP.

Opis

Dloder se širi preko diskov v skupni rabi (Windows Share) na sisteme s šibkim geslom za uporabnika "Administrator". Dloder poskusi prazno geslo, 42 znakov ‘x’ in naslednje vrednosti:

 admin             database          121212            pc
 Admin             abcd              123123            asdf
 password          abc123            1234qwer          secret
 Password          oracle            123abc            qwer
 1                 sybase            007               yxcv
 12                123qwe            alpha             zxcv
 123               server            patrick           home
 1234              computer          pat               xxx
 12345             Internet          administrator     owner
 123456            super             root              login
 1234567           123asd            sex               Login
 12345678          ihavenopass       god               pwd
 123456789         godblessyou       foobar            pass
 654321            enable            a                 love
 54321             xp                aaa               mypc
 111               2002              abc               mypc123
 000000            2003              test              admin123
 00000000          2600              test123           pw123
 11111111          0                 temp              mypass
 88888888          110               temp123           mypass123
 pass              111111            win               pw
 passwd

Če se uspešno priklopi preko porta 445 (Microsoft SMB preko TCP) z enim od zgornjih gesel, na sistem odloži svojo kopijo (običajno INST.EXE) v nekaj zagonskih map in spremeni Windows register tako, da se ob vsakem zagonu računalnika, zažene tudi program DVLDR32.EXE (kopija črva). Črv namesti na računalnik tudi VNC strežnik (datoteke cygwin1.dll, explorer.exe, omnithread_rt.dll in VNCHooks.dll), ki omogoča oddaljeni nadzor nad računalnikom, ter IRC odjemalca (datoteka rundll32.exe), ki se skuša priklopiti na enega od 13 predefiniranih IRC strežnikov.

Ugotavljanje prisotnosti črva

Preko prometa na omrežju

Sistemi z nameščenim črvom pregledujejo druge sisteme na omrežju po portu 445. Upravitelji omrežij ustanov lahko z beleženjem (ali blokado) izhodnega prometa na port 445 na svojem omrežju identificirajo okužene računalnike.

Preko Windows registra

Na samem računalniku poiščimo datoteke, omenjene v zgornjem razdelku. Preverimo vrednosti, navedene v ključu Windows registra (Start->Zaženi/Run, vpišite regedit):

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

Če ta vsebuje zapise za messnger, je sistem okužen.

Preko zagnanega procesa

Odprite Upravitelja opravil (Task Manager) tako, da pritisnete kombinacijo tipk CTRL+SHIFT+ESC. Izberite zavihek "Procesi" (Processes). Če se na seznamu nahaja Dvldr32.exe, je sistem okužen.

Odstranjevanje črva

Za odstranjevanje lahko uporabite protivirusni program, ali pa črva odstranite ročno:

• Zaustavite proces Dvldr32.exe preko Upravitelja opravil (Task Manager)
• Odstranite zapise za messnger iz Windows registra (za zgoraj navedeni ključ)
• Poiščite in odstranite datoteke, ki so naštete v tem obvestilu.
• Spremenite geslo za uporabnika "Administrator"

Zaščita

Za preprečevanje okužb s tem ali drugimi črvi, si na računalnik namestite protivirusni program, osebno protipožarno pregrado in namestite vse potrebne popravke za operacijski sistem. Navodila in seznami ustreznih programov se nahajajo v ločenem dokumentu.

Povezave

• F-Secure opis (v slovenščini)
• Norton Anti-Virus opis
• Trend Micro opis
• Graf pregledovanja po portu 445