 |
Technische Beschreibung:
|
Obwohl dies die erste
Backdoor ist, die die WinCE Plattform angreift, enthält sie fortgeschrittene
Merkmale wie das Auflisten von Ordnerinhalten, Rauf- und Runterladen von
Dateien, ferngesteuerte Ausführung von Dateien etc.
Beim Betrieb kopiert sich der Wurm selbst in den WinCE Startup Ordner als
svchost.exe; auf diese Weise erhält er Zugang zu jedem System Boot;
dann versucht die Backdoor den Windows Socket interface zu initialisieren
(die niedrigste Version, die sie akzeptiert, ist 1.1) und, falls erfolgreich,
erschafft er einen Socket und verbindet ihn mit
Port 2989 ("BAD" in ASCII). Dann
versucht er sich mit Port 25 (SMTP) des Servers 194.67.23.111 (der ein
bekannter russischer Mailserver ist) zu verbinden und sendet Informationen
an den Autor, indem er die Adresse brokensword@ukr.net. benutzt
Für die Mail Verschickungsroutine
benutzt diese Backdoor ihre eigene Ausführung eines einfachen SMTP
Client ohne Fehlermeldungsfunktion.
> Backdoor Funktionen:
Der Wurm akzeptiert Verbindungen, die
über Port 2989 reinkommen. Die Kommunikation ist sehr einfach: der
Angreifer sendet ein aus einem Zeichen bestehenden Befehl, die Backdoor
versucht, dieses Zeichen in einem String zu finden und benutzt den Index,
um zu einer Funktion zu springen (von einer Funktions-Tabelle).
Befehle:
"d" : Zählt Dateien auf
und sendet deren Namen und Größe an den Autor
"g" : Sendet eine Datei an den Angreifer, 1024-byte Stücken
"r" : Führt einen Prozeß (oder Befehl) aus auf dem
infizierten Computer
"p" : Lädt eine Datei des Angreifers runter, in 1024-byte
Stücken
"m" : Zeigt eine Nachrichten Box an
"f" : Schließt den Kommunikationsport.
[ Zurück zum Anfang ]
|
