Connect with us

technokrata

W32.Brid.A@mm – régi vírust hordozó féreg fertőz

Dotkom

W32.Brid.A@mm – régi vírust hordozó féreg fertőz

A Brid féreg magában hordozva egyúttal eljuttatja a W32.Funlove.4099 nevű, 3 éves vírust is a megfertőzött számítógépre.

A fertőzött e-mail tulajdonságai

Feladó: regisztrált Windows felhasználói név
Tárgy: regisztrált cégnév
Csatolmány: Readme.exe

A féreg paraméterei

Felfedezésének ideje: 2002. november 4.
Védekezés elkészültének ideje: 2002. november 4.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux
Mérete: 114.687 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– megkísérel a www.hotmail.com URL-hez csatlakozni
– felmásolja a Windows desktopjára a Help.eml és az Explorer.exe állományokat (az előbbi egy olyan e-mail file, amely képes kihasználni egy már kijavított biztonsági rést; ez a javítás letölthető a kapcsolódó linkek egyikére kattintva)
– a system könyvtárban létrehozza a Bride.exe, az Msconfig.exe és a regedit.exe file-okat (a Bride.exe tulajdonképpen a W32.Funlove.4099 vírus)
– hozzáadja a regedit [System elérési útvonala]/regedit.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz és további három kulcsot ad a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Explorer/RemoteComputer Registry kulcshoz
– a féreg megkíséreli futtatni a magában hordozott W32.Funlove.4099 variánst
– saját SMTP motorja révén továbbítja magát az Outlook Address Bookjában található címlista minden tagjának és a HTM és DBX állományokban található e-mailcímekre



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek