Connect with us

technokrata

W32.HLLW.Oror.B@mm – file-törlő, agresszív terjedésű féregvírus

Dotkom

W32.HLLW.Oror.B@mm – file-törlő, agresszív terjedésű féregvírus

Az Oror féreg B változata e-mailen, IRC-n és hálózati megosztásokon keresztül is terjed; képes bizonyos file-okat letörölni a rendszerből.

A fertőzött e-mail tulajdonságai

Egy viszonylag nagy, előre definiált adatbázisból építi fel a leveleket, vagy véletlenszerűen is összerakhat egy e-mailt.

A féreg paraméterei

Felfedezésének ideje: 2002. november 6.
Védekezés elkészültének ideje: 2002. november 6.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux
Mérete: 131.072, 139.264, 72.192, 131.072 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– egy hamis hibaüzenetet jelenít meg
– felmásolja magát a Windows könyvtárba egy véletlenszerűen válaszott file-néven
– hozzáadja a LoadCurrentProfile [véletlenszerűen választott file-név] powprof.dll,LoadCurrentUserProfile bejegyzést a HKEY_LOCAL_MACHINE/Software/Mcrosoft/Windows/CurrentVersion/Run Registry kulcshoz
– véletlenszerűen választ egy állományt a System könyvtárból és bemásolja magát oda az állomány nevén, 3 különböző kiegészítéssel (file-név2k.kiterjesztés, file-név16.kiterjesztés, file-név32.kiterjesztés)
– a Win.ini file-ban a következő kiegésztítést hozza létre, a [Windows] rész alatt: run=C:/[System elérési útvonala]/[féregfile]
– véletlenszerűen választ a Program Files-ban egy alkönyvtárat és oda bemásolja magát az alkönyvtár nevén három különböző kiegészítéssel (2k, 16, 32); mint fent
– hozzáadja a fenti állományokra mutató értékeket a HKEY_LOCAL_MACHINE/Software/Mcrosoft/Windows/CurrentVersion/Run Registry kulcshoz
– mindegyik ablakot lezárja, melynek neve a következő szavak bármelyikét is tartalmazza: black, panda, shield, scan, mcafee, labs, zone, alarm, agent, avp, msie, navap, mstask, webcheck, iomon, nai_vs_stat
– könyvtárak után kutat, amelyeket letöröl, ha a következő szavak bármelyike is megtalálható a nevében: labs and zone, kaspers, mcafee, panda, avp, pc, cillin, black and ice, norton and virus
– minden, a bejövő üzenetekben található e-mailcímre továbbítja magát, ehhez az alapértelmezett levelezőklienst használja fel; az üzenetek lehetnek véletlenszerűen generáltak vagy előre meghatározottak is
– a Mirc scriptfile-ját felülírva IRC-n keresztül is képes terjedni



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek