Connect with us

technokrata

W32.Bajar.Worm.Int – féregvírus elrontott kóddal

Dotkom

W32.Bajar.Worm.Int – féregvírus elrontott kóddal

A féreg készítője programozási tudásának csekély mértékét avagy figyelmetlenségét jelzi-e az elrontott kód, talán sosem derül ki. Ennek köszönhetően azonban nem okoz súlyosabb károkat terjedése során.

A fertőzött e-mail tulajdonságai

Tárgy: Nuevo programa para bajar musica gratis
Csatolmány: a továbbított e-mail az elrontott kód miatt nem tartalmaz csatolmányt
Tartalom: con este programa vas a poder bajar cualquier tipo de musica las mejores canciones

A féreg paraméterei

Felfedezésének ideje: 2002. június 26.
Védekezés elkészültének ideje: 2002. június 27.
Mérete: 22.528 byte
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén bekövetkező események

– létrehozza a C meghajtó gyökérkönyvtárában a System.dll.vbs file-t és le is futtatja
– megjeleníti a cikk végén látható üzenetet
– megkísérli bemásolni magát a következö helyekre:
C:/Windows/System/Anti-Virus.vbs
C:/Windows/System/Norton.exe
C:/Windows/System/Fonts.chm
C:/Windows/System/Zonavirus.html
C:/Windows/System/Hoko.exe
C:/Windows/System/Neodrako.exe
C:/Windows/System/Nemesixx.exe
C:/Windows/System/Razor.exe
C:/Windows/System/Egrone.exe
C:/Windows/System/Run.exe
C:/Windows/System/NERFIX.vbs
C:/Windows/System/Regedit.exe
C:/Windows/System/Mtv.exe
C:/Windows/System/Suck.exe
C:/Windows/System/Group.exe
C:/Windows/System/Zirkov.exe
C:/Windows/System/Regedit.exe
C:/Windows/System/Fonts.exe
C:/Windows/System/Xpload.exe
C:/Windows/System/Mp3.vbs
C:/Windows/System/Mp3.exe
– az Address Bookban található összes e-mail címre megkísérli elküldeni magát, ám az elrontott kód miatt erre nem kerül sor
– az újraküldés elkerülése érdekében a HKEY_CURRENT_USER/Software Registry kulcshoz hozzáadja az mp3_sent yea bejegyzést
– hozzáadja a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz a C:/windows/system/mp3.vbs bejegyzést, így minden egyes rendszerinduláskor automatikusan futtatásra kerül a féreg is
– letörli a C:/Windows/Rundll.exe állományt
– a .vbs script lefutása után letörli a követkző állományokat:
C:/Windows/System/Vshield.vxd
C:/Autoexec.bat
C:/Windows/Regedit.exe
C:/Windows/Regedit.com



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek