Connect with us

technokrata

W32.Estrella – floppy lemezen terjedő trójai program

Dotkom

W32.Estrella – floppy lemezen terjedő trójai program

Egy meglehetősen idejét múlt módszer segítségével igyekszik terjedni az Estrella – a floppy drive-ban levő lemezeket fertőzi meg.

A trójai program tulajdonságai

Felfedezésének ideje: 2002. június 13.
Védelem elkészítésének ideje: 2002. június 14.
Mérete: 76.800 byte
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Macintosh, Unix, Linux
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódásakor bekövetkező események
– megpróbálja magát az a meghajtóra felmásolni Estrella.exe néven
– a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz hozzáadja a következő két értéket:
Win32G C:/Windows/System/Kernel32.com
Win32R C:/Windows/Server.com
(értelemszerűen az operációs rendszertől függ a pontos elérési útvonal)
– hozzáadja a HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun Registry kulcshoz a
Win32G C:WindowsCOMMANDScandisk.com bejegyzést
– a fenti két módosításnak köszönhetően a trójai program minden egyes rendszerinduláskor betöltődik a memóriába
– ezek után bemásolja magát a következő helyekre:
C:/Windows/Server.com
C:/System/Kernel32.com
C:/Windows/COMMAND/Scandisk.com
(ha ezek kerülnek futtatásra, akkor nem másolja magát sehova sem, csak a Registry-ben módosítja a fent említett bejegyzéseket)

Károkozásának módszere és mértéke

– minden december 15-én aktiválódik, a lent látható üzenetet megjelenítve a képernyőn
– a következő állományokat törli a merevlemezről:
C:/Command.com
C:/Config.sys
C:/Autoexec.bat
C:/Windows/Command/Format.com
C:/Windows/Options/Install/Format.com
C:/Windows/Command.com
C:/My Document/*.doc
C:/Borlandc/Bin/*.cpp
C:/Borlandc/Bin/*.c
C:/Borlandc/Bgi/*.cpp
C:/Borlandc/Bgi/*.c
C:/Program Files/Microsoft Visual Studio/Vb98/*.frm
C:/Program Files/Microsoft Visual Studio/Vb98/Bin/*.cpp
C:/*.doc
– megkísérli a D meghajtóról letörölni az összes file-t és könyvtárat
– pár óránként a floppy meghajtóban lemez után keres, és amennyiben talál és az még nem fertőzött, akkor felmásolja oda magát



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek