Connect with us

technokrata

W32.Sponge@mm – többszörösen fertőző féregvírus

Dotkom

W32.Sponge@mm – többszörösen fertőző féregvírus

Többszörös fertőzést hordoz magában a Sponge féreg, hiszen magával hoz még egy makróvírust is.

A fertőzött e-mail tulajdonságai

Tárgy: SpongeBob Wallpaper
Tartalom: Send this to your friends and make them laugh…
Csatolmány: Spongy.exe

A féreg paraméterei

Felfedezésének ideje: 2002. október 30.
Védekezés elkészültének ideje: 2002. október 31.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux
Mérete: 14.336 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehoz két rejtett alkönyvtárat:
C:/[Windows könyvtár]/Kn0x3
C:/Explore
– bemásolja magát a fenti helyekre, az elsőbe ace1.com, a másodikba Help.exe néven, illetve a C gyökerébe a következő neveken: Porno.scr, Jokes.pif, SpongeBob_Game.exe, SpongeBob.scr, SpongeBob.com
– ez utóbbi négynek rejtett és csak olvasható az attributuma
– létrehozza a C:/SpongeBob.eml file-t, ez az e-mail file, amiben csatolmányként benne van a féreg
– felülírja az összes SCR és PIF állományt az összes könyvtárban, kivéve a C meghajtó főkönyvtárát
– minden .htm file-hoz (kivéve a gyökérben levőket) kódot fűz, ez azonban hibásan lett elkészítve, így nem képes eredeti céljának megvalósítására
– létrehozza az 1225 byte hosszú C:/Readme.txt file-t, ami tartalmaz egy makrókódot (ez futtatja a Porno.scr állományt a megfertőzött dokumentumokból); ez megfertőzi a Normal.dot állományt illetve letiltja a Word makróvédelmét
– hozzáadja a Winrun C:/[Windows könyvtár]/kn0x/ace1.com bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices Registry kulcshoz
– az Outlook Address Bookjában található kontaktok számára továbbküldi magát a fent ismertetett karakterisztikában



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek