Connect with us

technokrata

W32.Heovin@mm – trójai képességekkel bíró féregvírus

Dotkom

W32.Heovin@mm – trójai képességekkel bíró féregvírus

A Visual Basic-ben írt féreg alaposan átvariálja a rendszerleíró adatbázist – még az Internet Explorer kezdőlapját is megváltoztatja.

A fertőzött e-mail tulajdonságai

Tárgy: Flash funny pic vagy Check This update
Csatolmány: Funnyflush.pif
Tartalom: Check dis out!

A féreg paraméterei

Felfedezésének ideje: 2002. december 6.
Védekezés elkészültének ideje: 2002. december 6.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux, OS/2
Mérete: 118.784 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– a következő helyre másolja be magát: C:/[Windows elérési útvonala]/Start menu/programs/startup/Dosreg.com; rejtett attributummal
– felmásolja a Temp könyvtárba a funnyflush.pif állományt, szintén rejtett attributummal
– hozzáadja a MSKernel32 C:/[Windows elérési úvonala]/Start menu/programs/startup/Dosreg.com bejegyzést a következő Registry kulcsokhoz:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
– a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Installer Registry kulcshoz a következő két értéket adja hozzá:
MSSetup [egy szám]
MSQM 0
– a HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main Registry kulcsban található Explorer kezdőlapot megváltoztatja a következőre: http://user1.7host.com/lupinIII/updates/relist.asp?fsdf=sdjk&xc=[véletlenszerűen választott betűk]
– létrehozza a a mIRC könyvtárában a Script.ini állományt, majd ezt úgy állítja be, hogy az automatikusan elküldje az IRC-elők számára a Funnyflush.pif állományt
– a Registry-ből kikeresi a Windows Address Bookot és az Outlook segítségével továbbítja magát a címlistában található kontaktok számára
– létrehozza a ~dP00Z1.tmp állományt a Temp könyvtárban; itt tárolja a TCP port számait, amelyeken megpróbál kapcsolatot létesíteni alkotójával

A féreg nyújtotta lehetőségek

– a kapcsolatra használt TCP port számának megváltoztatása
– hálózati és rendszerinformációk elküldése
– file-ok fel- és letöltése
– a file-rendszer feletti teljes uralom megszerzése
– zavaró műveletek (például a háttérkép megváltoztatása) végrehajtása



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek