Connect with us

technokrata

W32.Opaserv.H.Worm – önmagát frissítő féregvírus

Dotkom

W32.Opaserv.H.Worm – önmagát frissítő féregvírus

Az Opaserv nevű féreg rendszeresen jelentkezik frissítéssel, most a H variáns került sorra, amely a korábbi változat(ok)hoz képest többre képes.

A féreg paraméterei

Felfedezésének ideje: 2002. november 11.
Védekezés elkészültének ideje: 2002. november 12.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux, OS/2
Mérete: 21.504 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– leellenőrzi a GustavVED bejegyzés meglétét a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcsban
– amennyiben létezik, a féreg letörli azt az állományt, amire a bejegyzés mutat
– ha nem létezik, akkor a féreg megkeresi a instit érték meglétét a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcsban, ha nem létezik, hozzáadja az instit C:/WINDOWS/instit.bat bejegyzést
– leellenőrzi, hogy a C:/WINDOWS/instit.bat állomány már volt-e futtatva/megnyitva
– ha nem, ezen a neveken felmásolja magát és hozzáadja a GustavVED bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– létrehozza egy mutexet, hogy biztos lehessen abban, csak egyszer került futtatásra
– amennyiben még nem futott, akkor service processként regisztrálja magát
– a C meghajtó megosztásaiba felmásolja magát Instit.bat néven
– Windows 9x/Me alatt ki tud használni egy biztonsági hiányosságot, melynek révén a jelszó ismeretének hiányában is képes hozzáférni a megosztott meghajtókhoz; az ezt javító patch a lenti linkről tölthető le
– módosítja a Win.ini állományt, a következő sor adja hozzá: run= c:/Windows/Brasil.exe,c:/Windows/Brasil.pif c:/Windows/marco!.scr,c:/windows/scrsvr.exe,c:/windows/instit.bat
– a fenti sor egyébként bekerül abba az Institu nevű állományba is, amelyet a féreg hoz létre a C meghajtó gyökerében
– a féregben meghatározott URL-ről képes frissíteni magát, megkísérelheti letölteni a Tavinh.scr file-t



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek