Connect with us

technokrata

W32.Alcarys.G@mm – nagyon agresszív terjedéssel

Dotkom

W32.Alcarys.G@mm – nagyon agresszív terjedéssel

A Visual Basicben írt féreg mIRC-et és Outlookot használ terjedéséhez és megfertőzi a az Office dokumentumokat.

A W32.Alcarys.G@mm szinte minden lehetőséget igyekszik megragadni a gyors elterjedésre, még a KaZaA hálózatán keresztül is megpróbál szaporodni.

A fertőzött e-mail tulajdonságai

Tárgy: az alábbiak közül egy
– i´ve got cool stuffs here…
– nice stuffs i got here…
– check this out…
– i want you to know how much i care for you…
– hello! i´m your long, lost friend…
– talk to me… tell me your name…
– kindness is a virtue…
Csatolmány: az alábbi sorozatokból választ, mindegyikből egyet (véletlenszerűen), mérete: 19.456 byte
1. sorozat
– Chinese fuck.mpg (Movie.exe)
– Amateur porn film.mpg (Movie.exe)
– Jenna jameson clip.mpg (Movie.exe)
– Lord of the rings clip.mpg (Movie.exe)
– Fuck of the month.mpg (Movie.exe)
– Britney exposed.mpg (Movie.exe)
2. sorozat
– Universe.scr (Screenxx.scr)
– Solarsystem.scr (Screenxx.scr)
– Shit.scr (Screenxx.scr)
– Donald and minnie sex.scr (Screenxx.scr)
– Baby dancing.scr (Screenxx.scr)
– Kamasutra screensaver.scr (Screenxx.scr)
3. sorozat
– Credit card hacktool (File1980.com)
– Windows xp ultimate crack (File1980.com)
– Http:/ /www.meditation.com (File1980.com)
– Patch1981.com (File1980.com)
– Hack mirc server (File1980.com)
4. sorozat: Disney.scr
Tartalom: az alábbiak közül egy
– three files for you to keep… always remember that i´m into deep… i don´t know you but i think i´m in love…
– sharing files is the essence of living… check this out…
– hi, friend… here are some nice stuffs that i got from the internet… check it out…
– hmmmn… i guess you´ve forgotten me… but anyways, i wanna make up… here are the files that made me like the internet more… see for yourself…
– check this out…
– one of the files is a virus… can you tell me which one is it? hehehe, i´m only joking… your friend, paul..

A féreg paraméterei

Felfedezési ideje: 2002. június 10.
Védelem elkészítésének ideje: 2002. június 12.
Veszélyeztetett operációs rendszerek: Windows 98/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x/95, Microsoft IIS, Macintosh, Unix, Linux
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktivizálódásakor bekövetkező események

– a rendszeren belül számos helyre felmásolja magát (csak a desktopra 8 másolatot helyez el magáról)

– több Explorer-ablakot megnyit és megkísérel letölteni egy futtatható file-t (ezen file nem fertőző)

– az Outlook segítségével az Address Bookban található összes címre megpróbálja továbbítani magát (mivel tizenötször (!) indul el a féreg, ezért minden címre tizenötször küldi el másolatát) a fent bemutatott e-mail formátummal

– módosítja a következő Registry kulcsokat, melynek köszönhetően minden egyes újraindítás folyamán egymás után háromszor indul el a féreg (nagyon lelassulhat a rendszerindulási folyamat és instabillá válhat a rendszer)
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
*Windows c:/windows/windows.exe
MSMSGS c:/msmsgs.exe
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
*Regedit c:/windows/reg.exe
*Windows Update C:/WINDOWS/Start Menu/Programs/Windows Update/file#######.########.exe
(a # helyén véletlenszerűen generált számok állnak)
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
*Rundll64 c:/windows/rundll64.exe

– felülírja a mIRC inicializációs file-ját, terjedésének elősegítése érdekében

– létrehoz még egy bejegyzést a Registry-ben, hogy a KaZaA-n keresztül is szaporodhasson:
KEY_CURRENT_USER/Software/Kazaa/LocalContent
Dir0 c:/WinDir
Dir1 c:/My_Files

– létrehozza az alábbi könyvtárakat a számítógépen:
C:/Program Files/CurlySoft
C:/My_Files
C:/WinDirC
C:/Windows/files
C:/Windows/Desktop/Top Secret
C:/Windows/Favorites/A Beautiful Mind
C:/Windows/SendTo/Oceans11
C:/Windows/Start Menu/Programs/XXX Files

– megfertőzi a következő állományokat:
C:/Blank.html, 321 byte – futtatja a féreg másolatát.
C:/Doc.wps, 1.950 byte – a virus forrása.
C:/Nor.wps, 839 byte – a macrovírus forrásának globális sémája.
C:/Porno.doc, 49.152 byte – fertőzött dokumentum
C:/Windows/Newdocument.doc, 49.152 byte – fertőzött dokumentum C:/Windows/Application Data/Microsoft/Templates/Normal.dot, (bármekkora méretben) – fertőzött globális séma
C:/Xls.wps, 1.829 byte – a macrovírus forrásának workbookja
C:/xxxmovie.xls, 47.616 byte – fertőzött workbook
C:/V.reg, 428 byte – Registry file
C:/V.vbs, 114 byte – Vbscript, a V.reg importálása

– létrehozza másolatait (mind 19.456 byte hosszú):
C:/Recycled/Alco.com
C:/Disney.scr
C:/File1980.com
C:/Hacktool.Co_
C:/Movie.exe
C:/Msmsgs.exe
C:/Porno.scr
C:/screenxx.scr
C:/Windows.exe
C:/Windows.scr
C:/Winstart.com
C:/My_Files/Avn Live – Download Free Pass.exe
C:/My_Files/Beatles White Album Full compressed.exe
C:/My_Files/Dungeons And Dragons 2002.exe
C:/My_Files/Gameboy Emulator.exe
C:/My_Files/Gran Turismo Hacks.exe
C:/My_Files/Looneytunes.scr
C:/My_Files/Marvel Superheroes.exe
C:/My_Files/Mirc Hack.exe
C:/My_Files/Ms Office Xp Password Unlocker.exe
C:/My_Files/Nba Live 2002 Full Downloader – Password_Qwwodkd1192pw.exe
C:/My_Files/Orgasm Visual Interpretation.scr
C:/My_Files/The Osbournes.scr
C:/My_Files/Visual Basic .Net Tutor.exe
C:/My_Files/Xbox Emulator compressed.exe
C:/Windir/Benjaminwormremover.exe
C:/Windir/Blade 2 Full Download.exe
C:/Windir/Bootlegged Copy – Jenna Jameson 2002.scr
C:/Windir/Classified.exe
C:/Windir/Eminem Show Full Album Fetcher.exe
C:/Windir/FuCk Of The Year 2001.scr
C:/Windir/Kelly Osbourne Close Up.scr
C:/Windir/New Gorillaz Single_exe Version_.exe
C:/Windir/Palm Os Software Upgrade.exe
C:/Windir/Robot Wars – Pc Version.exe
C:/Windir/Savannah Sucks Cock.scr
C:/Windir/Shakira Nude.exe
C:/Windir/Shrek Full Downloader -Hehehe-.exe
C:/Windir/Spiderman_Never_Been_Seen_Footage_Download.exe
C:/Windir/Star Wars Ii – Full Downloader.exe
C:/Windir/Tekken 5 Beta Downloader.exe
C:/Windows/Reg.exe
C:/Windows/Rundll64.exe
C:/Windows/Windows.exe
C:/Windows/Desktop/Win.exe
C:/Windows/Desktop/Top Secret/Clickme.exe
C:/Windows/Favorites/A Beautiful Mind/Watchme.exe
C:/Windows/Sendto/Oceans11/Watchme.exe
C:/Windows/Start Menu/Programs/Xxx Files/Clickme.exe

– a C:/Windows/Files könyvtárban létrehoz 70 állományt változó neveken (például: C:/Windows/files/File1006270.57140590.exe)

– a desktopra kiteszi a következő linkeket:
C:/Windows/Desktop/ExecuteMe.url – C:/Windows/Rundll64.exe-re mutat
C:/Windows/Desktop/mailme.url – ez létrehoz egy e-mail üzenetet, ami a féreg szerzőjéhez továbbítódik
C:/Windows/Desktop/New Document.lnk – C:/Windows/Newdocument.doc-re mutat
C:/Windows/Desktop/Porn Viewer version 1.01.lnk – C:/Program Files/CurlySoft/Pornview.exe-re mutat
C:/Windows/Desktop/Tips On How To Make Your Partner Wilder.lnk – C:/xxxmovie.xls-re mutat

– a C:/Program Files/Curly könyvtárban léterhozza az alábbi állományokat:
Pornview.exe, 19.456 byte – a féreg másolata
Viewer.dll, 19.456 bytes – a féreg másolata
Start.bat, 146 byte
Readme.txt, 43 byte – tartalma: PornViewer v.1.01
˝PORNO STILL SELLS…˝

– felülírja a C:/Windows/Scanregw.exe és a C:/Windows/Tuneup.exe állományokat saját kódjával

– felülírja a batch file-okat a következő parancsokkal:
átmásola a Viewer.dll file-t Run.com néven a C:/Program Files/CurlySoft könyvtárba
importálja a C:/V.reg állományt
futtatja a C:/File1980.com-ot

– az összes, C:/Windows/System könyvtárban található scr file-t felülírja 19.456 byte-os másolatával

– módosítja a Registry-t, hogy a .js, .mp3, .txt vagy .vbs file-ok indításakor saját magát hívja meg
HKEY_CLASSES_ROOT/JSFile/Shell/Open/Command
Eredeti: ˝(Default)˝ = ˝C:/WINDOWS/WScript.exe ˝%1˝ %*˝
Megváltoztatott: ˝(Default)˝ = ˝C:/windows/scanregw.exe˝
HKEY_CLASSES_ROOT/JSFile/Shell/Open2/Command
Eredeti: ˝(Default)˝ = ˝C:/WINDOWS/COMMAND/CScript.exe ˝%1˝ %*˝
Megváltoztatott: ˝(Default)˝ = ˝C:/windows/tuneup.exe˝
HKEY_CLASSES_ROOT/mp3file/shell/open/command
Eredeti: ˝(Default)˝ = ˝C:/PROGRA~1/WINDOW~1/mplayer2.exe˝ /Play ˝%L˝˝
Megváltoztatott: ˝(Default)˝ = ˝C:/windows/scanregw.exe˝
HKEY_CLASSES_ROOT/mp3file/shell/play/command
Eredeti: ˝(Default)˝ = ˝C:/PROGRA~1/WINDOW~1/mplayer2.exe˝ /Play ˝%L˝˝
Megváltoztatott: ˝(Default)˝ = ˝C:/windows/system/regsvr32.exe˝
HKEY_CLASSES_ROOT/txtfile/shell/open/command
Eredeti: ˝(Default)˝ = ˝C:/WINDOWS/NOTEPAD.EXE %1˝
Megváltoztatott: ˝(Default)˝ = ˝C:/recycled/alco.com˝
HKEY_CLASSES_ROOT/VBSFile/Shell/Open/Command
Eredeti: ˝(Default)˝ = ˝C:/WINDOWS/WScript.exe ˝%1˝ %*˝
Megváltoztatott: ˝(Default)˝ = ˝C:/windows/system/regsvr32.exe˝
HKEY_CLASSES_ROOT/VBSFile/Shell/Open2/Command
Eredeti: ˝(Default)˝ = ˝C:/WINDOWS/COMMAND/CScript.exe ˝%1˝ %*˝
Megváltoztatott: ˝(Default)˝ = ˝C:/windows/tuneup.exe˝



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek