Connect with us

technokrata

W32.Gubed@mm – féregvírus, amely egy másik férget hordoz

Dotkom

W32.Gubed@mm – féregvírus, amely egy másik férget hordoz

A megfertőzött számítógépen található HTM és HTML file-okban található e-mail címekre továbbítja magát a W32.Gubed@mm, amely szimbiózisban él egy másik élősködővel.

A fertőzött e-mail tulajdonságai

Tárgy: Congratulations for your site
Csatolmány: WebMakeFullInstall.exe
Tartalom: Congratulations for your site
This is a good tool to improve it.
Best Regards.

A féreg paraméterei

Felfedezésének ideje: 2002. június 21
Védekezés elkészültének ideje: 2002. június 24.
Mérete: 12.800 byte
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Macintosh, Unix, Linux
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén bekövetkező események

– a féreggel együtt egy másik féreg is érkezik, amely a következő e-maillel próbál meg terjedni:
Tárgy: Important EMail for [címzett neve]
Csatolmány: start.vbs, mérete 27.255 byte
Tartalom: Look at this attached file, it may be important.
– ez megpróbálja magát továbbítani az Outlook segítségével, ám az elrontott kód miatt nem következik be a szaporodás
– a következő állományokban található e-mail címekre megpróbálja továbbküldeni magát:
index.htm
index.html
index.asp
default.htm
default.html
default.asp
main.htm
main.html
main.asp
– bemásolja magát a Windows System könyvtárába DebugW32.exe néven
– annak érdekében, hogy minden rendszerinduláskor betöltődjön a memóriába, a következő változtatást hajta végre a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcsban:
˝Debug˝=˝C:/Windows/System/DebugW32.exe˝
– létrehozza a start.vbs állományt a C:/Windows/Start Menu/Programs/StartUp könyvtárban
– megkeresi a My Documents könyvtárat illetve ennek alkönyvtárait; az ezekben található VBS file-okat a féreg készítője át akarta iratni a start.vbs-sel, de az elrontott kód miatt ez nem következik be
– a Windows és a System könyvtárakban öt futtatható (EXE) file-hoz hozzámásolja magát és átnevezi őket (például az actmovie.exe ezután actmovie.exe_vbpe.exe lesz)



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek