Connect with us

technokrata

W32.HLLW.Lama – féregvírus Dél-Európának

Dotkom

W32.HLLW.Lama – féregvírus Dél-Európának

Microsoft Outlookon, a Kazaa hálózatán és a mIRC IRC-kliensprogramon egyaránt terjedő féreg jelent meg az elmúlt napon.

A fertőzött e-mail tulajdonságai

Tárgy: véletlenszerűen választott latin nyelvű szöveg
Tartalom: véletlenszerűen választott latin nyelvű szöveg

A féreg paraméterei

Felfedezésének ideje: 2002. augusztus 2.
Védekezés elkészültének ideje: 2002. augusztus 5.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Macintosh, Unix, Linux
Mérete: 83.968 byte, 89.088 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– a rendszeren belül több helyre is bemásolja magát, többek közt:
C:/Windows/Alma.exe
C:/Test Sexi.exe
C:/Norton Antivirus Gold Edition 2002.exe
C:/Parche.exe
C:/Trampa Do Brasil.exe
C:/Cplremove.exe
– megkísérli letörölni a következő állományokat:
C:Archiv~1PeravPav.Dll
C:Program FilesPeravPer.Dll
C:BasesAvp.Set
C:System32Vshield.Vxd
C:Archivos De ProgramasNorton AntivirusNavdx.exe
– létrehozza a Mi Alma Al Aire.vbs és a ErGrone.vbs egyikét
– megjeleníti a cikk végén látható ablakot, illetve egy Lama fejlécű ablakot ALMA BY RAZOR/GEDZAC szöveggel
– a létrehozott VBS állományok felkutatják az Outlook címlistájában található összes e-mailcímet és arra továbbítják a férget
– az ErGrone_sent yea bejegyzést hozzáteszi a HKEY_CORRENT_USER/Software Registry kulcshoz, ezzel megakadályozza, hogy többször is továbbításra kerüljön a féreg
– a Windows indulásakor automatikusan betöltődik a féreg is, ezt a Alma C:/Windows/Alma.exe érték HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcsba való bejegyzésével éri el
– lefuttatja a C:/Alma Destructora.bat állományt, amelynek tartalma:
@cls
@Format C:/autotest
@Format A:/autotest
– megkísérli bemásolni magát a C:/Program Files/KaZaA/My Shared Folder könyvtárába az alábbi neveken:
Norton Antivirus 2002.exe
Hotmail Crack Tools.exe
Madonna All Videos.exe
Fifa World Cup Kora Japan 2002.exe
Gamecube All Tricks.exe
The Sexy Nigths Show.exe
Osama Bin Ladem Game.exe
Kaspersky Lab.exe
Playstation 2 All Tricks.exe
– a mIRC klienst szintén megpróbálja terjedésre felhasználni



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek