Connect with us

technokrata

W32.HLLW.Backzat.B – file-gyilkos féregvírus

Dotkom

W32.HLLW.Backzat.B – file-gyilkos féregvírus

A féreg igen agresszív terjedési mechanizmussal rendelkezik, emellett file-törlő képességei is vannak.

A fertőzött e-mail tulajdonságai

Tárgy: Duuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuude
Tartalom: Whoa man amuse yourself with this funny freakin screen saver
Csatolmány: WuFFie.Scr

A féreg paraméterei

Felfedezésének ideje: 2002. december 30.
Védekezés elkészültének ideje: 2002. december 30.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux, OS/2
Mérete: 69.120 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– WuFFie.Scr néven felmásolja magát a Windows és a System könyvtárba
– hozzáadja a BatzBack C:/[Windows elérési útvonala]/WuFFie.scr bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– hozzáadja a BatzBack C:/[System elérési útvonala]/WuFFie.scr bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices Registry kulcshoz
– a HKEY_CURRENT_USER/Software/Kazaa/Transfer/DlDir0 kulcsból megkeresi a Kazaa megosztott könyvtárát
– amennyiben ez a könyvtár létezik, a féreg felmásolja magát az alábbi helyekre a következő neveken:
C:/My Downloads/EminEmSpearsBritney.Scr
C:/Program Files/ICQ/Shared Files/EminEmSpearsBritney.Scr
C:/Program Files/EDonkey2000/Incoming/EminEmSpearsBritney.Scr
C:/Program Files/BearShare/Shared/EminEmSpearsBritney.Scr
C:/Program Files/Morpheus/My Shared Folder/EminEmSpearsBritney.Scr
[a Kazaa megosztott könyvtára]/EminEmSpearsBritney.Scr
– felmásolja magát BuddyScreenSaver.Scr néven a C:/Program Files/AIM95 könyvtárba
– ha talál olyan meghajtót, amelynek betűjele G és Z közé esik, akkor annak gyökerébe másolja a WuFFie.Scr állományt
– létrehozza a Windows könyvtárban a Script.ini file-t, így Mircen keresztül is képes szaporodni
– létrehozza a Windows könyvtárban a rejtett atributummal bíró WuFFie.bat állományt és le is futtatja, amely révén e-mailen terjeszti tovább magát (az elrontott kód miatt ez a rutin nem megfelelően fut le)
– minden állományt letöröl a következő könyvtárakból:
PC-Cil~1
ToolKit/FindVirus
AntiVi~1
VS95
TBAVW95
f-macro
eSafen
Progra~1/FindVirus
Progra~1/FWIN32
Progra~1/QuickH~1
Progra~1/AntiVi~1
Progra~1/Grisoft/AVG6
Progra~1/ZoneLa~1
Progra~1/TrendM~1
Progra~1/McAfee/VirusScan
Progra~1/PandaS~1
Progra~1/Norton~2
Progra~1/Norton~1



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek