26/02/2006 13:27:32
antivirus
יום אחד בלבד לאחר פירסום התולעת הראשונה למערכת ההפעלה X (ראה מאמר) וכבר החברה "הטובים" שקדו והוציאו לנו גירסה חדשה.. תגידו שלום לתולעת השניה הנודעת גם בשם "OSX.Inqtana.A" התולעת הנוכחית פועלת בצורה מעט שונה.. והיא מנצלת את מנגנון ה blue-tooth על מנת להפיץ את עצמה
פרטים טכניים:
התולעת שולחת מהמחשב הראשון שלושה "OBEX Push requests" שהם בקשות לאישור העברת קבצים במנגנון ה blue-tooth אם המשתמש מאשר את שלושתם התולעת נכנסת פנימה, ומתחילה לבצע מספר מהלכים ואלו הם :
יוצרת שלושה קבצים ראשוניים: w0rm-support.tgz com.openbundle.plist com.pwned.plist
פורצת את מחסום שינוי הקבצים בתיקיית היעד BlueTooth Directory Traversal ויוצרת עוד קבצים בנתיבים הבאים /Users/w0rm-support.tgz /Users/InqTest.class /Users/com.openbundle.plist /Users/com.pwned.plist /Users/libavetanaBT.jnilib
יוצרת עוד שני תיקיות שלא יכילו שום קובץ זדוני אך יהיו אחראיות על הפעלת התולעת /Users/javax /Users/de
וכמובן איך לא יוצרת את תעודת הביטוח שלה.. שני קבצים שידאגו להפעיל או לשכפל אותה למקרה שנמחקה עם הפעלת המחשב.. /Users/[USER NAME]/Library/LaunchAgents/com.pwned.plist
לאחר מכן התולעת תחפש עוד התקני blue-tooth לשלוח דרכם לעוד מחשבים בקשות OBEX Push requests וככה הלאה והלאה...
קרדיט לאתר symantec [ההודעה נערכה על-ידי antivirus ב-26/02/2006 13:45:39]
26/02/2006 13:59:25
porto_jwl
תודה על המידע,תן עוד מידע או משהו על התולעת...
26/02/2006 14:07:42
antivirus
כמו מה?
26/02/2006 17:48:53
cp77fk4r
דבר ראשון אנט, תודה על המידע, אבל אכן נתת רק חלק מהמידע- ושכחת לציין דברים מאוד חשובים שמודיעים על אופי התולעת.
התולעת הנ"ל לא פוגעת כלל במערכת או עושה דברים זדוניים, היא נקראת "Poc bluetooth worm" (הPoc זה קיצור של Proof of concept), והיא מבוססת Java, כותבי הוירוס לא רצו לפגוע במערכת או לגרום לדברים נוראים, הם רק רצו להודיע "שאפשר לכתוב תולעת כזאת" ובכדי להוכיח הם כתבו את OSX/Inqtana.A.
ואגב (לפי מה שהבנתי), התיקיה LaunchAgents ב X Os היא כמו Startup בWindows Os, ככה שהתולעת תרוץ בכל פעם שהמערכת תעלה.
26/02/2006 19:56:24
אודי
אחלה. לפחות היא לא עושה משהו זדוני.
יש לי שאלה, הרי אם יודעים מישהו שכתב תולעת מסויימת, עוצרים אותו, לא? אלה שכותבים תולעת מסוג זה, קורה להם משהו?
26/02/2006 19:57:55
dracula_2000
תודה על המידע.אני שמח שהיא לא עושה דברים רעים.
26/02/2006 20:46:41
Zibi
ציטוט:אחלה. לפחות היא לא עושה משהו זדוני.
יש לי שאלה, הרי אם יודעים מישהו שכתב תולעת מסויימת, עוצרים אותו, לא? אלה שכותבים תולעת מסוג זה, קורה להם משהו?
כן ולא,אני יסביר.
את הכותבים של התולעת הזאת לא יעצרו כי הם לא עשו שום דבר עם התולעת הם לא כתבו אותה למטרה לפגוע או להדביק מחשבים אלא הם כתבו אותה כדי להוכיח שאפשר לכתוב למק תולעת.אבל אם מישהו כותב תולעת והמטרה שלה היא כן לפגוע וכן להדביק מחשבים והוא משתמש בה כדי לפגוע ולהדביק משחבים,אם התולעת גרמה נזק רב מאוד אז הfbi ומיקרוסופט(אם התולעת מכובנת לווינדוס)ירדפו אחריו עד שיתפסו אותו בדרך כל הוא ישלם פצויים ויכנס לכמה שנים לכלא.[ההודעה נערכה על-ידי Zibi ב-26/02/2006 20:47:20]
26/02/2006 21:23:27
אודי
אה..סבבה.
26/02/2006 23:02:44
porto_jwl
חלק מהוירוסים התולעים אינן מזיקים,ויש כל מיני סוגי של וירוסים והתולעים בדרך כלל מפיצים את עצמם במייל על מנוע smtp,שזו הדרך הנפוצה להפצה עצמית.
27/02/2006 02:02:11
antivirus
חח עכשיו שאתה מציין את זה סיפ אתה צודק קראתי את כל זה אבל משום מה אני רואה שלא הכנסתי את זה למאמר -_- לא נורא..על כל פנים התולעת לא נמצאה בטבע.. דהיינו היא לא התגלתה באיזה מחשב נגוע.. היא בסך הכל פורסמה מאיזה קבוצה
27/02/2006 08:08:36
xtre
אני מאמין שבעתיד הלא רחוק אתם תשמעו שכלול קליל של הקוד מקור שהפך אותה כמובן להרסנית בצורה מחרידה
27/02/2006 17:51:11
Cyber-Knight
ציטוט:אני מאמין שבעתיד הלא רחוק אתם תשמעו שכלול קליל של הקוד מקור שהפך אותה כמובן להרסנית בצורה מחרידה
אתה מה-זה ניראה לי צודק!!! 100%
27/02/2006 21:20:57
antivirus
הייתי אומר שאתה צודק למחצה מכייוון שהיא תגיע במוטציה הרסנית נכון אבל לא מוטציה של התולעת הנוכחית אלא מוטציה הרסנית שבנויה על אותו עיקרון.. מכיוון שלתולעת הנוכחית יצא פאט"צ מהר מאוד אם עוד לא יצא...
28/02/2006 01:34:47
devil kide
זה שיוצא פאט’ץ לא אומר שכולם מעדכנים. תעשה סריקה על פרצות ישנות כנו פורט 5000 ותראה שלפחות 1 מתוך 5 לא עדכן...
28/02/2006 04:33:28
antivirus
הגזמת...אין היום מחשב פריץ על פורט 5000 חחחח (בהגזמה)
28/02/2006 09:51:11
xtre
ציטוט:הייתי אומר שאתה צודק למחצה מכייוון שהיא תגיע במוטציה הרסנית נכון אבל לא מוטציה של התולעת הנוכחית אלא מוטציה הרסנית שבנויה על אותו עיקרון.. מכיוון שלתולעת הנוכחית יצא פאט"צ מהר מאוד אם עוד לא יצא... אמרתי את זה על סמך זה שהקוד מקור שלו מסתובב חופשי בין הקהילות...!!
28/02/2006 18:01:50
porto_jwl
antivirus צודק שפורט 5000 כבר אי אפשר לפרוץ דרכו,גם אם תראו פורטים פתוחים זה לא אומר שאתם יכולים לפרוץ אליו.
01/03/2006 05:27:03
antivirus
צודק מאה אחוז וזה טעות של הרבה ליימים שאומרים מצאתי פורט פתוח במחשב של מישהו זה אומר שאני יכול לפרוץ דרך החור שמנצל את הפורט הזה???????? חחח אז זהו שהחור לא נמצא בפורט אלא שנמצא חור אבטחה בשירות שמריץ את הפורט...שמאפשר השתלטות על הפורט לצרכים שלנו גם אם אני עכשיו אגדיר את כל המחשב לפתוח פורטים בלי שירותים שיעמדו מאחרייהם ויסרקו לי את המחשב ויוכלו לראות שכל הפורטים מ 1-65000 כולם פתוחים ואני בלתי פריץ על ידם :P
07/03/2006 13:36:48
dracula_2000
ציטוט:הגזמת...אין היום מחשב פריץ על פורט 5000 חחחח (בהגזמה)
לא.ניראה לי שיש
07/03/2006 14:05:59
cp77fk4r
%^&$%^&%$^
פורט פריץ?! לעזאזל, אני מרגיש כמו בפורום FXP, מה זה אמור להביע?
אתם באוף טופיק+מדברים שטויות, בבקשה תחזרו לנושא המקורי.
07/03/2006 14:26:35
antivirus
לא אמרתי "פורט פריץ" אמרתי שאין "מחשב פריץ" יחי ההבדל מחשב פריץ על פורט 5000 התכוונתי למחשב שקיים בו אותו החור שעובד על פורט 5000 למשל
07/03/2006 15:00:16
sysctl
החור לא נמצא בפורט ולא "עובד על הפורט", החור נמצא באיזה פרוטוקול שמשתמש בפורט 5000 לצרכים שלו וכשבנאדם סורק מחשב ורואה שפורט 5000 פתוח עליו הוא יכול להניח שאותו מחשב משתמש בפרוטוקול עם החור(למרות שזה לא בהכרח נכון) ושאפשר לנצל אותו...[ההודעה נערכה על-ידי sysctl ב-07/03/2006 15:00:40]
07/03/2006 15:48:07
antivirus
חח אתה רציני? אתם בכלל טורחים לקרוא הודעות לפני שמגיבים? שני הודעות למעלה תקרא מה כתבתי בפירוש...
ציטוט:צודק מאה אחוז וזה טעות של הרבה ליימים שאומרים מצאתי פורט פתוח במחשב של מישהו זה אומר שאני יכול לפרוץ דרך החור שמנצל את הפורט הזה???????? חחח אז זהו שהחור לא נמצא בפורט אלא שנמצא חור אבטחה בשירות שמריץ את הפורט...שמאפשר השתלטות על הפורט לצרכים שלנו
ואגב טעות שלך...לא מדובר בפרוטוקול שמשתמש בפורט כי אם בשירות שמשתמש בפורט אחי ואם יש חור בשירות שעובד על פורט 5000 מבחינתי אפשר לקצר ולהגיד חור האבטחה שעובד עם פורט 5000
פעם הבאה לקרוא שוב לפני שמגיבים ... [ההודעה נערכה על-ידי antivirus ב-07/03/2006 15:51:11]
07/03/2006 15:58:39
sysctl
הכוונה שלי הייתה למשפטים האלו שהיו מטעים די הרבה אנשים: "מחשב פריץ על פורט 5000" "חור שעובד על פורט 5000 למשל" המטרה שלי הייתה לתקן את אותן טעויות :]
ד"א איך הנושא הזה הגיע לשיחה על פורטים, פרוטוקולים וחורי אבטחה?
07/03/2006 16:07:40
antivirus
פאנן אחי חח והאמת אין לי מושג איך זה הגיע לזה קיצר אוף טופיק לנעווולל :P
02/04/2008 23:52:27
cp77fk4r
נעול.
עמודים:
1
