Connect with us

technokrata

BAT.WCup.B@mm – a VB-lázat kihasználó féreg

Dotkom

BAT.WCup.B@mm – a VB-lázat kihasználó féreg

Lassan lecseng a fotball világbajnokság körülötti láz, ám a féregkészítők még mindig megpróbálják meglovagolni a szurkolók hiszékenységét. Ennek egyik eredménye a BAT.WCup.B@mm.

A fertőzött e-mail tulajdonságai

Tárgy: Korean New Tactics To Defeat Germans
Csatolmány: germany_sucks.BAT
Tartalom: Tactics to win over the Germans!

A féreg paraméterei

Felfedezési ideje: 2002. június 26.
Védekezés elkészültének ideje: 2002. június 27.
Veszélyeztetett operációs rendszerek: Windows 98/Me
Nem érintett rendszerek: Macintosh, Unix, Linux
Mérete: 10.018 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktivizálódásakor bekövetkező események

– megkísérli szétküldeni magát az Outlook segítségével a fent ismertetett e-mail formátumban
– megkeresi a számítógépre telepített mIRC-klienst és annak konfigurációs file-ját módosítja oly módon, hogy a program elküldje a féreg másolatát Korea.jpg.bat néven
– három állományt hoz létre a rendszerben:
Cha_du_ri.bat (89 byte): ez tartalmazza a Win.ini-ben létrehozandó módosításokat
Korea_rulez.vbs (127 byte): ez futtatja a Koree_rulez.bat állományt a Windows könyvtárból
Koreans_.reg (150 byte): ez a Registry-t módosítja a következőképpen: beírja a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run kulcsba a sexywormbykoreaofgalaxynetirc#vx (WINDOWS)˝germans_suxs.bat bejegyzést
Germany_sucks.bat és Koreans_win_germans.bat (10.018 byte): ezek a féreg másolatai
– létrehozza a Windows könyvtárban az alábbi állományokat:
Dd.ini (89 byte): ez a fent említett Cha_du_ri.bat másolata
Korea_win_worldcup2002.vbs (134 byte): ez futtatja a Korea_worldcup2002.bat file-t a Windows könyvtárból
KOREANS_.REG (150 byte): ez egy Registry importáló állomány
– bemásolja magát a Windows könyvtárba az alábbi neveken:
Germans_suxs.bat
Korea_rulez.bat
Korea_wins.bat
Korea_worldcup2002.bat
Worldcup2002_korea.bat
Start Menu/Programs/StartUp/Koreans_koreans.bat
System/Wini.bat
– megpróbálja letörölni ezeket az állományokat:
C:/Progra~1/Kasper~1/Avp32.exe
C:/Progra~1/Norton~1/*.exe
C:/Progra~1/Trojan~1/Tc.exe
C:/Tbavw95/Tbscan.sig
– megpróbálja letörölni ezeket az állományokat, de az elrontott útvonalnevek miatt ez nem következik be:
C:/Progra/Norton~1/S32integ.dll
C:/Progra/F-prot95/Fpwm32.dll
C:/Progra/Mcafee/Scan.dat
C:/Progpa/Tbav/Tbav.dat
C:/Progra/Avpersonal/Antivir.vdf
– lerövidíti a System.ini konfigurációs file méretét pár byte hosszúságúra, s elhelyezi benne a [boot] részben következő beírást: hel=explorer.exe C:/WINDOWS/koreans_win_germans.bat



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek