Dotkom

W32.Alcarys.G@mm – nagyon agresszív terjedéssel

A Visual Basicben írt féreg mIRC-et és Outlookot használ terjedéséhez és megfertőzi a az Office dokumentumokat.

Megjelent: 2002. június 13. csütörtök

A W32.Alcarys.G@mm szinte minden lehetőséget igyekszik megragadni a gyors elterjedésre, még a KaZaA hálózatán keresztül is megpróbál szaporodni.

A fertőzött e-mail tulajdonságai

Tárgy: az alábbiak közül egy
– i´ve got cool stuffs here…
– nice stuffs i got here…
– check this out…
– i want you to know how much i care for you…
– hello! i´m your long, lost friend…
– talk to me… tell me your name…
– kindness is a virtue…
Csatolmány: az alábbi sorozatokból választ, mindegyikből egyet (véletlenszerűen), mérete: 19.456 byte
1. sorozat
– Chinese fuck.mpg (Movie.exe)
– Amateur porn film.mpg (Movie.exe)
– Jenna jameson clip.mpg (Movie.exe)
– Lord of the rings clip.mpg (Movie.exe)
– Fuck of the month.mpg (Movie.exe)
– Britney exposed.mpg (Movie.exe)
2. sorozat
– Universe.scr (Screenxx.scr)
– Solarsystem.scr (Screenxx.scr)
– Shit.scr (Screenxx.scr)
– Donald and minnie sex.scr (Screenxx.scr)
– Baby dancing.scr (Screenxx.scr)
– Kamasutra screensaver.scr (Screenxx.scr)
3. sorozat
– Credit card hacktool (File1980.com)
– Windows xp ultimate crack (File1980.com)
– Http:/ /www.meditation.com (File1980.com)
– Patch1981.com (File1980.com)
– Hack mirc server (File1980.com)
4. sorozat: Disney.scr
Tartalom: az alábbiak közül egy
– three files for you to keep… always remember that i´m into deep… i don´t know you but i think i´m in love…
– sharing files is the essence of living… check this out…
– hi, friend… here are some nice stuffs that i got from the internet… check it out…
– hmmmn… i guess you´ve forgotten me… but anyways, i wanna make up… here are the files that made me like the internet more… see for yourself…
– check this out…
– one of the files is a virus… can you tell me which one is it? hehehe, i´m only joking… your friend, paul..

A féreg paraméterei

Felfedezési ideje: 2002. június 10.
Védelem elkészítésének ideje: 2002. június 12.
Veszélyeztetett operációs rendszerek: Windows 98/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x/95, Microsoft IIS, Macintosh, Unix, Linux
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktivizálódásakor bekövetkező események

– a rendszeren belül számos helyre felmásolja magát (csak a desktopra 8 másolatot helyez el magáról)

– több Explorer-ablakot megnyit és megkísérel letölteni egy futtatható file-t (ezen file nem fertőző)

– az Outlook segítségével az Address Bookban található összes címre megpróbálja továbbítani magát (mivel tizenötször (!) indul el a féreg, ezért minden címre tizenötször küldi el másolatát) a fent bemutatott e-mail formátummal

– módosítja a következő Registry kulcsokat, melynek köszönhetően minden egyes újraindítás folyamán egymás után háromszor indul el a féreg (nagyon lelassulhat a rendszerindulási folyamat és instabillá válhat a rendszer)
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
*Windows c:/windows/windows.exe
MSMSGS c:/msmsgs.exe
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
*Regedit c:/windows/reg.exe
*Windows Update C:/WINDOWS/Start Menu/Programs/Windows Update/file#######.########.exe
(a # helyén véletlenszerűen generált számok állnak)
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
*Rundll64 c:/windows/rundll64.exe

– felülírja a mIRC inicializációs file-ját, terjedésének elősegítése érdekében

– létrehoz még egy bejegyzést a Registry-ben, hogy a KaZaA-n keresztül is szaporodhasson:
KEY_CURRENT_USER/Software/Kazaa/LocalContent
Dir0 c:/WinDir
Dir1 c:/My_Files

– létrehozza az alábbi könyvtárakat a számítógépen:
C:/Program Files/CurlySoft
C:/My_Files
C:/WinDirC
C:/Windows/files
C:/Windows/Desktop/Top Secret
C:/Windows/Favorites/A Beautiful Mind
C:/Windows/SendTo/Oceans11
C:/Windows/Start Menu/Programs/XXX Files

– megfertőzi a következő állományokat:
C:/Blank.html, 321 byte – futtatja a féreg másolatát.
C:/Doc.wps, 1.950 byte – a virus forrása.
C:/Nor.wps, 839 byte – a macrovírus forrásának globális sémája.
C:/Porno.doc, 49.152 byte – fertőzött dokumentum
C:/Windows/Newdocument.doc, 49.152 byte – fertőzött dokumentum C:/Windows/Application Data/Microsoft/Templates/Normal.dot, (bármekkora méretben) – fertőzött globális séma
C:/Xls.wps, 1.829 byte – a macrovírus forrásának workbookja
C:/xxxmovie.xls, 47.616 byte – fertőzött workbook
C:/V.reg, 428 byte – Registry file
C:/V.vbs, 114 byte – Vbscript, a V.reg importálása

– létrehozza másolatait (mind 19.456 byte hosszú):
C:/Recycled/Alco.com
C:/Disney.scr
C:/File1980.com
C:/Hacktool.Co_
C:/Movie.exe
C:/Msmsgs.exe
C:/Porno.scr
C:/screenxx.scr
C:/Windows.exe
C:/Windows.scr
C:/Winstart.com
C:/My_Files/Avn Live – Download Free Pass.exe
C:/My_Files/Beatles White Album Full compressed.exe
C:/My_Files/Dungeons And Dragons 2002.exe
C:/My_Files/Gameboy Emulator.exe
C:/My_Files/Gran Turismo Hacks.exe
C:/My_Files/Looneytunes.scr
C:/My_Files/Marvel Superheroes.exe
C:/My_Files/Mirc Hack.exe
C:/My_Files/Ms Office Xp Password Unlocker.exe
C:/My_Files/Nba Live 2002 Full Downloader – Password_Qwwodkd1192pw.exe
C:/My_Files/Orgasm Visual Interpretation.scr
C:/My_Files/The Osbournes.scr
C:/My_Files/Visual Basic .Net Tutor.exe
C:/My_Files/Xbox Emulator compressed.exe
C:/Windir/Benjaminwormremover.exe
C:/Windir/Blade 2 Full Download.exe
C:/Windir/Bootlegged Copy – Jenna Jameson 2002.scr
C:/Windir/Classified.exe
C:/Windir/Eminem Show Full Album Fetcher.exe
C:/Windir/FuCk Of The Year 2001.scr
C:/Windir/Kelly Osbourne Close Up.scr
C:/Windir/New Gorillaz Single_exe Version_.exe
C:/Windir/Palm Os Software Upgrade.exe
C:/Windir/Robot Wars – Pc Version.exe
C:/Windir/Savannah Sucks Cock.scr
C:/Windir/Shakira Nude.exe
C:/Windir/Shrek Full Downloader -Hehehe-.exe
C:/Windir/Spiderman_Never_Been_Seen_Footage_Download.exe
C:/Windir/Star Wars Ii – Full Downloader.exe
C:/Windir/Tekken 5 Beta Downloader.exe
C:/Windows/Reg.exe
C:/Windows/Rundll64.exe
C:/Windows/Windows.exe
C:/Windows/Desktop/Win.exe
C:/Windows/Desktop/Top Secret/Clickme.exe
C:/Windows/Favorites/A Beautiful Mind/Watchme.exe
C:/Windows/Sendto/Oceans11/Watchme.exe
C:/Windows/Start Menu/Programs/Xxx Files/Clickme.exe

– a C:/Windows/Files könyvtárban létrehoz 70 állományt változó neveken (például: C:/Windows/files/File1006270.57140590.exe)

– a desktopra kiteszi a következő linkeket:
C:/Windows/Desktop/ExecuteMe.url – C:/Windows/Rundll64.exe-re mutat
C:/Windows/Desktop/mailme.url – ez létrehoz egy e-mail üzenetet, ami a féreg szerzőjéhez továbbítódik
C:/Windows/Desktop/New Document.lnk – C:/Windows/Newdocument.doc-re mutat
C:/Windows/Desktop/Porn Viewer version 1.01.lnk – C:/Program Files/CurlySoft/Pornview.exe-re mutat
C:/Windows/Desktop/Tips On How To Make Your Partner Wilder.lnk – C:/xxxmovie.xls-re mutat

– a C:/Program Files/Curly könyvtárban léterhozza az alábbi állományokat:
Pornview.exe, 19.456 byte – a féreg másolata
Viewer.dll, 19.456 bytes – a féreg másolata
Start.bat, 146 byte
Readme.txt, 43 byte – tartalma: PornViewer v.1.01
˝PORNO STILL SELLS…˝

– felülírja a C:/Windows/Scanregw.exe és a C:/Windows/Tuneup.exe állományokat saját kódjával

– felülírja a batch file-okat a következő parancsokkal:
átmásola a Viewer.dll file-t Run.com néven a C:/Program Files/CurlySoft könyvtárba
importálja a C:/V.reg állományt
futtatja a C:/File1980.com-ot

– az összes, C:/Windows/System könyvtárban található scr file-t felülírja 19.456 byte-os másolatával

– módosítja a Registry-t, hogy a .js, .mp3, .txt vagy .vbs file-ok indításakor saját magát hívja meg
HKEY_CLASSES_ROOT/JSFile/Shell/Open/Command
Eredeti: ˝(Default)˝ = ˝C:/WINDOWS/WScript.exe ˝%1˝ %*˝
Megváltoztatott: ˝(Default)˝ = ˝C:/windows/scanregw.exe˝
HKEY_CLASSES_ROOT/JSFile/Shell/Open2/Command
Eredeti: ˝(Default)˝ = ˝C:/WINDOWS/COMMAND/CScript.exe ˝%1˝ %*˝
Megváltoztatott: ˝(Default)˝ = ˝C:/windows/tuneup.exe˝
HKEY_CLASSES_ROOT/mp3file/shell/open/command
Eredeti: ˝(Default)˝ = ˝C:/PROGRA~1/WINDOW~1/mplayer2.exe˝ /Play ˝%L˝˝
Megváltoztatott: ˝(Default)˝ = ˝C:/windows/scanregw.exe˝
HKEY_CLASSES_ROOT/mp3file/shell/play/command
Eredeti: ˝(Default)˝ = ˝C:/PROGRA~1/WINDOW~1/mplayer2.exe˝ /Play ˝%L˝˝
Megváltoztatott: ˝(Default)˝ = ˝C:/windows/system/regsvr32.exe˝
HKEY_CLASSES_ROOT/txtfile/shell/open/command
Eredeti: ˝(Default)˝ = ˝C:/WINDOWS/NOTEPAD.EXE %1˝
Megváltoztatott: ˝(Default)˝ = ˝C:/recycled/alco.com˝
HKEY_CLASSES_ROOT/VBSFile/Shell/Open/Command
Eredeti: ˝(Default)˝ = ˝C:/WINDOWS/WScript.exe ˝%1˝ %*˝
Megváltoztatott: ˝(Default)˝ = ˝C:/windows/system/regsvr32.exe˝
HKEY_CLASSES_ROOT/VBSFile/Shell/Open2/Command
Eredeti: ˝(Default)˝ = ˝C:/WINDOWS/COMMAND/CScript.exe ˝%1˝ %*˝
Megváltoztatott: ˝(Default)˝ = ˝C:/windows/tuneup.exe˝

Tovább

További cikkek:disney, linux, macintosh, marvel, microsoft, net, office, palm, sony, unix, windows, word, xbox

Szólj hozzá!

További Dotkom

Dotkom

Mindent vagy semmit – cookie-kezelési stratégiák a magyar lakosság körében

Dotkom

Világdöntőben az ELTE programozói

Dotkom

Fizetniük kell majd az X felhasználóinak, ha posztolni akarnak

Dotkom

Nem kíváncsiak az emberek túlzottan a Windows 11-re

Dotkom

Változatlanul nagy a nemek közötti egyenlőtlenség az EU infokom szektorában

Dotkom

Az ASUSTOR már a Seagate IronWolf® Pro 24 TB-os NAS-merevlemezeket is támogatja

Dotkom

HONOR.com mostantól a HONOR weboldalának címe

Dotkom

Rossz hír érkezett az Android felhasználók számára

Dotkom

Végre kijavítják a Windows 11 bizarr dizájnhibáját

Dotkom

Új márka- és marketingkommunikációs igazgató a Yettelnél

Dotkom

A SUSE továbbfejleszti a telekommunikációs szolgáltatóknak szánt, rugalmas platformját a hálózatok modernizálásához

Dotkom

Megúszta az iMessage és a Bing a szigorúbb uniós szabályokat

Dotkom

Elbúcsúzhat a kivénhedt számítógépektől a Windows 11

Dotkom

Számos díjjal jutalmazták az LG innovációit a 2024-es CES-en

Dotkom

Nagy dobásra készül az amerikai posta

Dotkom

Az idei év hozhatja meg az IT iparágnak a növekedést?

Dotkom

Tavalyhoz képest közel kétszeresére nőtt a mobilnet-forgalom az ünnepi időszakban a Yettelnél

Dotkom

Ez az új netes őrület: Alkossuk újra a régi fotókat!

Dotkom

Milliókat osztanak szét az új közösségi platformon

Dotkom

Átírhatja az online vásárlási szokásainkat a közösségi vásárlás

Népszerű

Adatvédelem

Kiberbiztonsági útmutató készült a magyar kkv-knak

Kütyük

Több év után is az Nvidia Shield TV Pro az egyik legjobb Android alapú TV okosító

Tudomány

10 meglepő NASA találmány, ami a mindennapi életünk részévé vált

Smart-TV

Az LG új tévéivel sosem látott megoldások költöznek a nappaliba

Digitális oktatás

A Stanford Egyetem professzora szerint példaértékű a Széchenyi István Egyetem és az ipar együttműködése

e-Egészségügy

Mammográfiához tervezett diagnosztikai monitort mutat be az LG

Smart-TV

Az LG OLED evo televíziók már a negyedik egymást követő évben kapják meg a környezetbarát minősítést

Garázs

A Honda a milánói divathéten mutatja be fenntartható koncepcióját

Dotkom

Fizetniük kell majd az X felhasználóinak, ha posztolni akarnak

Ipar

Elhanyagolt telephelyen épül fel Budapest legátgondoltabb lakónegyede

Technokrata a Facebookon

IoT-Magazin.hu

Termeléslogisztika automatizálása SOTO robotokkal

A munkavállalók véleménye alapján idén a Lufthansa Systems Hungária lett a hazai IT szektor legvonzóbb munkaadója

Kiszervezett logisztika: a versenyelőny titka a vegyiparban

DANU néven egy cégben egyesül az egyik legmeghatározóbb urbanisztikai és építőipari digitális csapat

Telefonunk biztonsága a személyes biztonságunk – tippek ahhoz, hogy óvjuk adatainkat

Zéró karbon célok elérése szén-dioxid leválasztással

Az Alba Regia Műszaki Felsőoktatásért Alapítvány kiberbiztonsági készségek és kiber ellenállóképesség fejlesztés céljára elnyerte a Kyndryl Alapítvány támogatását

Telefonunk tárhelye kihat készülékünk működésére

Üzembe állt a Siemens e-kamion töltője

A Hankook elektromos járművekre fejlesztett és nyári gumiabroncsa is kiváló minősítést ért el

Kütyük

Smart home

Maximalizáld ételeid frissességét hűtőd extra funkcióival

Kütyük

Több év után is az Nvidia Shield TV Pro az egyik legjobb Android alapú TV okosító