Connect with us

technokrata

VBS.VBSWG.AQ@mm: képnek álcázott féregvírus

Dotkom

VBS.VBSWG.AQ@mm: képnek álcázott féregvírus

Shakira-ról készült képnek igyekszik álcázni magát a ma megjelent féreg.

A VBS.VBSWG.AQ@mm egy VBS-script, amely a Microsoft Outlookján vagy az IRC-n keresztül terjed.

E-mailként a következő tulajdonságokkal rendelkezik:
Tárgy: Shakira´s Pictures
Csatolmány: ShakiraPics.jpg.vbs, mérete: 7995 byte
Tartalom: Hi i have sent the photos via attachment have funn…

A féreg a VBSWG néven ismert víruskészítő alkalmazással készült, mellyel külön meghatározható, hogy mely csatornákat vegye igénybe terjedéséhez.

Aktivizálódásakor az alábbi események következnek be:
– bemásolja magát a Windows gyökérkönyvtárába ShakiraPics.jpg.vbs néven
– hozzáadja a Registry HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run kulcsához a Registry wscript.exe C:/Windows/ShakiraPics.jpg.vbs % értéket
– megkeresi az összes meghajtón (beleértve az összes hordozható médiát) a VBS és VBE kiterjesztésű állományokat, majd saját kódjával felülírja
– az Outlook címlistáján levő összes címre megpróbálja magát továbbítani a fent ismertetett formájú e-mailekkel
– felülírja a mIRC IRC-kliensprogram konfigurációs file-ját (Script.ini), így egy chatszerverhez csatlakozva automatikusan elküldi saját másolatát

Amennyiben sikeresen fel tudta az Outlookot használni terjeszkedésre, létrehozza az alábbi Registry-bejegyzést: HKEY_CURRENT_USER/Software/ShakiraPics ˝mailed˝ = ˝1˝. Ha sikerült módosítania a mIRC konfigurációs állományát, akkor szintén létrehoz a Registry-ben egy bejegyzést, amely a következőképpen néz ki: HKEY_CURRENT_USER/Software/ShakiraPics ˝mirqued˝ = ˝1˝.

Mikor mindezzel végzett, egy ablakot helyez a megfertőzött számítógép képernyőjére, melyen a You have infected by the ShakiraPics Worm szöveg látható.

Eltávolítása a víruskereső program adatbázisának frissítése után végrehajtott rendszerellenőrzés során lehetséges.



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek