Connect with us

technokrata

Audió és videó file-okat támadó féregvírus

Dotkom

Audió és videó file-okat támadó féregvírus

A Hypoth nevű féreg MP3, MP2, MPEG és AVI file-okat fertőz meg.

A fertőzött e-mail tulajdonságai

Több sémából választ véletlenszerűen egyet:

Tárgy: Hey [címzett neve]!
Tartalom: [küldő neve]! Get free mp3s from the web site that i go to! I can get almost any music that I want, just look at all the cool sites that I went to in the attachments.
Bye
Csatolmány: Sitelist.vbs

Tárgy: Hello [címzett neve]!
Tartalom: Have fun with these great jokes!
[küldő neve]
Csatolmány: Jokes.vbs

Tárgy: Here is that file you wanted, [címzett neve].
Tartalom: This is the file you wanted – don´t let anyone else see it!
[küldő neve]
Csatolmány: Confidential.vbs

Tárgy: Check this out, [címzett neve]!
Tartalom: Hello [címzett neve], check out these pictures of my last holiday! Don´t get jealous!
[küldő neve]
Csatolmány: Holidaypics.vbs

Tárgy: Urgent Update!
Tartalom:
[címzett neve],
Your computer will need this update to protect your computer from new email viruses. I installed this update and it works fine.
Thanks.
Csatolmány: SecurityUpdate.vbs, Update.vbs, UpdateSecurity.vbs, UpdateInstaller.vbs, UpdateSetup.vbs, or Readme.vbs

A féreg paraméterei

Felfedezésének ideje: 2002. november 26.
Védekezés elkészültének ideje: 2002. november 26.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux, OS/2
Mérete: 8.499, 19.692 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba a következő nevek egyikén: Runmsdsk32.vbs, Sitelist.vbs, Winnt32.vbs, Jokes.vbs, Confidential.vbs, Runmnt32.vbs, Holidaypics.vbs, Securityupdate.vbs, Update.vbs, Updatesecurity.vbs, Updateinstaller.vbs, Updatesetup.vbs, Readme.vbs, [véletlenszerűen választott karakterek].vbs
– az előző file-ra mutató adattal hozzáadja a következő értékek egyikét a Registry-hez:
Runxpdsk32, Winnt32, Runmnt32;
HKEY_LOCAL_MACHINE/software/Microsoft/Windows/CurrentVersion/Run
– MAPI segítségével továbbítja magát az Outlook Address Bookjában található összes címre a fent ismertetett formátumokban
– azon címeket, melyekre már továbbította magát, a HKEY_CURRENT_USER/Software/Theory/Theory/RecordContacts/ Registry kulcs alatt tárolja, így egy e-mailre maximum egyszer küldi el magát
– minden meghajtót végignézi VBS és VBE állományok után keresve, mindegyikhez, amit megtalál, hozzáfűzi magát
– minden .mp3, .mp2, .mpg, .mpe, .mpeg, .avi és .mov file-hoz hozzáadja a VBS kiterjesztést



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek