Connect with us

technokrata

W32.Yaha.F@mm – testvérénél agresszívabb féregvírus

Dotkom

W32.Yaha.F@mm – testvérénél agresszívabb féregvírus

A Windows Address Bookján kívül az MSN Messenger, a Yahoo Pager és az ICQ kontaktlistáját használja fel terjedésre, ráadásul megpróbálja kiiktatni a vírusvédelmet is.

A megfertőzött e-mail tulajdonságai megegyeznek a korábbi (rovatunkban már ismertetett) verzióval.

A féreg paraméterei

Felfedezésének ideje: 2002. június 17.
Védekezés elkészültének ideje: 2002. június 18.
Mérete: 29.948 byte
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Macintosh, Unix, Linux
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– megkísérli magát elküldeni az Address Bookban található összes címre, illetve az MSN Messenger, a Yahoo Pager és az ICQ kontaktlistájában található összes bejegyzésre, valamint a HT kiterjesztésű állományokból is megpróbál e-mailcímekhez jutni
– elsőként az Outlookot próbálja meg igénybe venni, ha ez nem sikerül, akkor a saját, beépített SMTP motorját használja
– a megszerzett címeket a Windows gyökérkönyvtárában tárolja egy véletlenszerűen választott 4 karakter és egy b betű összeillesztéséből álló DLL állományban(tehát például qwerb.dll)
– megjelenít egy üzenetet a képernyőn, ami az alábbiak egyike lehet:
U r so cute today #!#!
True Love never ends
I like U very much!!!
U r My Best Friend
– ezek után a Desktopot ˝összerázza˝, mint egy képernyőkímélő program

A következő események véletlenszerűen következnek be:

– megpróbálja hatástalanítani az antivirus programokat és az esetleg használatban levő tűzfalakat
– képes kihasználni a MIME-hibát, amely lehetővé teszi a féreg futtatását már akkor is, amikor még csak a levél került megnyitásra, a csatolmány nem
– bemásolja magát a Recycled könyvtárba a fent ismertett kétszer véletlen hat számból álló néven
– a HKEY_LOCAL_MACHINE/Software/Classes/exefile/shell/open/command Registry kulcsot módosítja a [WormName]˝ %1 %* bejegyzéssel, ezáltal minden alkalommal automatikusan elindul, amikor egy EXE kiterjesztésű file futtatásra kerül
– létrehoz egy véletlenszerűen elnevezett szövegfile-t a Windows könyvtárában a következő tartalommal:
<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>
w32.yAHa.D
aUThor :H^H,h2h@achayans.com
oRigIN :inDia,kERala(gODs oWn cOUntrY)
kANagaaa ,mANdi pEnnee nJan Ninne sNEhikkunnuu..
oRu sITe kITTiyirunnegggil.. hACk CHEyyyamayirunnuuu..

<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek