Connect with us

technokrata

W32.Fusic@mm – trójai képességekkel bíró féregvírus

Dotkom

W32.Fusic@mm – trójai képességekkel bíró féregvírus

A féreg képes meghatározni a felhasználó tartózkodási helyét (ország), és annak megfelelően változtatja álcaszövegét.

A fertőzött e-mail tulajdonságai

Négy, előre elkészített sémából választ egyet véletlenszerűen:

Tárgy: To be my friend?
Tartalom: Please look at my photos in the attachment
Csatolmány: My introduction and photos.exe

Tárgy: resume
Tartalom: Please look at my resume
Csatolmány: My resume.exe

Tárgy: Funny movie
Tartalom: Funny flash movie
Csatolmány: Funny movie.exe

Tárgy: Document you want
Tartalom: What you want is in the attachment
Csatolmány: Readme.exe

A féreg paraméterei

Felfedezésének ideje: 2002. november 22.
Védekezés elkészültének ideje: 2002. november 22.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux, OS/2
Mérete: 212.992, 24.576, 69.632 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárban található Kernel mappába Kernel32.exe néven
– létrehozza a System könyvtárban a FuncDLL.dll és a IEHelper.dll nevű állományokat
– mindkét állomány információk megszerzésére képes: az első a billentyűzet-leütést, a második pedig az Internet Explorer eseményeket figyeli
– a fent említett DLL file-ok logot készítenek a System könyvtárban Passlogx.log néven
– létrehozza a kernel [System elérési útvonala]/kernel/kernel32.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsban
– létrehozza az alábbi Registry kulcsokat is:
HKEY_LOCAL_MACHINE/SOFTWARE/kernel
HKEY_LOCAL_MACHINE/SOFTWARE/kernel/A09b37xz; ezen kulcsok belső konfigurációs adatokat tartalmaznak
– Windows 9x/Me alatt service processként regisztrálja magát, ekkor csak a számítógép leállításával lehet a féreg működését kiiktatni
– a Windows Address Bookjában található kontaktok számára elküldi magát MAPI használatával (a féreg leellenőrzi a felhasználó fizikai tartózkodási helyét, ha az Kína, akkor kínai nyelven fogalmazza meg az üzeneteket, ha nem, akkor a fent ismertetett karakterisztikában terjed)
– a távoli klienstől érkező parancsra vár

A féregben található trójai képességek kínálta lehetőségek

– rendszer- és hálózati információk kiszolgáltatása
– futó processek leállítása
– bizalmas információk megszerzése billentyűzet-leütés figyeléssel



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek