Connect with us

technokrata

VBS.Gaggle.B@mm – a rendszer életét felforgató féregvírus

Dotkom

VBS.Gaggle.B@mm – a rendszer életét felforgató féregvírus

Outlookon, Mircen keresztül egyaránt terjedni képes féreg, amely a fertőzésen kívül file-okat is töröl a rendszerből.

A fertőzött e-mail tulajdonságai

Tárgy: több, spanyol nyelvű szövegből válogat
Tartalom: több, spanyol nyelvű szövegből válogat
Csatolmány: egy HTML állomány

A féreg paraméterei

Felfedezésének ideje: 2002. december 18.
Védekezés elkészültének ideje: 2002. december 19.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 24.712, 37.524, 54.680 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– megnyit egy Explorer ablakot, melynek fejléce: Naria y Erya, a benne levő szöveg pedig: Gaghiel Error Cargando : 2015
– ezek után megjelenik egy ActiveX figyelmeztetés, melyben a felhasználót arra figyelmeztetik: az oldal nem biztonságos tartalommal is rendelkezhet, s kívánja e engedélyezni ezek futását
– igenlő válasz esetén létrehozza a System könyvtárban a Gaghiel.vbs állományt
– hozzáadja a Gaghiel [System elérés útvonala]/Gaghiel.vbs értéket a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– beírja ugyanezt az értéket a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Domain Manager kulcsba
– megjelenít egy spanyol nyelvű hibaüzenetet
– mikor a féreg a Gaghiel.vbs állományból fut, a következő állományokat hozza létre:
C:/[Windows elérési útvonala]/Gaghiel.html
C:/[System elérési útvonala]/AngeldelMar.html
C:/[Temp elérési útvonala]/PcZombi.html
C:/[Temp elérési útvonala]/RAT seguridad.html
C:/[Temp elérési útvonala]/InformacionCuentas.html
C:/[Temp elérési útvonala]/VirtualLetter.html
C:/[Temp elérési útvonala]/Sexalud.html
– a főkönyvtárban található VBS állományok kivételével minden egyéb VBS file-t felülír
– asp, .hta, .htm, .html, .msconfig, .php, .phtm, .phtml, .plg, .regedb32, .sfc, .shtm vagy .shtml kiterjesztéssel bíró, még nem fertőzött állományok után keres, amennyiben talál ilyet, hozzáfűzi magát
– ha a jelenlegi rendszerdátum 25-nél nagyobb, a féreg megváltoztatja a HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/start Page értékét a következőre: http://www.gratisweb.com/machinedramon1/sachiel.jpg.scr
– ha a jelenlegi rendszerdátum napjának és hónapjának összege 30, akkor megjelenít egy hosszú spanyol nyelvű szöveget
– az Outlook Address Bookjában található kontaktok számára továbbítja magát a Microsoft e-mailkliense révén
– ha a Mirc32.exe vagy a Mirc.ini állományok léteznek, a féreg létrehozza a Chanel.hlp állományt ugyanabban a könyvtárban, ahol a fenti file-ok találhatók
– a Chanel.hlp megnyitásával a féreg továbbítja magát azoknak, akik a fertőzött számítógéppel egy IRC-csatornán vannak
– letörli a következő file-okat:
Msconfig.exe (csak Windows 98/Me/XP rendszereken)
Regedit.exe



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek