Connect with us

technokrata

W32.Antiqfx.F.Worm – file-törlő féregvírus

Dotkom

W32.Antiqfx.F.Worm – file-törlő féregvírus

A C++ programnyelven íródott féreg helyi hálózaton keresztül terjed; pusztító hajlamokkal rendelkezik, rengeteg file-t képes eltüntetni a merevlemezről.

A féreg paraméterei

Felfedezésének ideje: 2002. november 4.
Védekezés elkészültének ideje: 2002. november 4.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux
Mérete: 458.752 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja magát a Windows könyvtárba Mscdex.exe néven
– hozzáadja a cdrom C:/Windows/mscdex.exe bejegyzést a következő Registry kulcsokhoz:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce
– készít egy mutexet a memóriában, amivel el tudja érni, hogy csak egyszer töltődjön be
– az összes meghajtó minden könyvtárában file-ok után keres, és letörli őket, ha a kiterjesztésük megfelel a következő lista egy elemének: .bth, .mar, .gly, .isp, .pos, .bru, .que, .cat, .lut, .lso, .qfo
– bárhol is találja meg a következő állományokat, letörli azokat; Qfxwin.exe, Qfxwin.ini, Qfxwin1.dll, Qfxcc.dll, Aver.ini, Amwin1.dll, Amcc.dll, Avermagic.exe, Amagic.exe
– csak helyi hálózaton keresztül képes terjedni, a távoli gép StartUp könyvtárába másolja fel magát
– módosítja az autoexec.bat állományt a következő két sorral:
@echo off
mscdex.exe



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek