Connect with us

technokrata

A Nimda féregvírus reinkarnálódása

Dotkom

A Nimda féregvírus reinkarnálódása

A W32.HLLW.Kilonce féreg a Nimda féregre alapul, azzal a különséggel, hogy nem rendelkezik annak e-mailező tulajdonságával.

A féreg paraméterei

Felfedezésének ideje: 2002. augusztus 27.
Védekezés elkészültének ideje: 2002. augusztus 29.
Veszélyeztetett operációs rendszerek: Windows 98/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x/95, Macintosh, Unix, Linux
Mérete: 39.310 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– leellenőrzi a számítógép nevét, ha az nem YWB, akkor beindul a fertőzési folyamat
– felméri az összes processt és leállítja azokat, melyek nevei tartalmazzák a KV, AV vagy LOAD.EXE betűket, szavakat
– a lelőtt processekhez tartozó file-okat letörli
– a Recycled könyvtárba felmásolja magát C:/Windows/Killonce.exe néven
– néhány Registry-beállítást megváltoztat:
HKEY_CLASSES_ROOT/exefile/shell/open/command értékét /killonce.exe ˝%1 %*
HKEY_CLASSES_ROOT/txtfile/shell/open/command értékét c:/recycled/killonce.exe /NotePad %1
– hozzáadja a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz a KillOnce /killonce.exe értéket
– Windows NT/2k/Xp alatt a Guest accountot átteszi az Administrators csoportba
– C-től K-ig minden meghajtót megnyit jogosulatlan hozzáférés biztosítására Windows 9x/Me alatt
– a hálózatok felmérése után a távoli számítógépek Rundll32.exe és Regedit.exe állományait átnevezi és ezen a néven saját magát másolja fel
– felülírja az EML és az NWS kiterjesztésű állományokat, melyek így base64-kódolásban tartalmazzák a féreg forrását
– DOC és HTM állományok megléte esetén felmásolja magát Riched20.dll és Shdocvw.dll néven
– december 13-án felülírja az autoexec.bat állományt oly módon, hogy annak lefuttatásával a merevlemez formázásra kerüljön



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek