Connect with us

technokrata

W32.Recory@mm – túlélésre tervezett féregvírus

Dotkom

W32.Recory@mm – túlélésre tervezett féregvírus

A Visual Basic-ben írt féreg működési mechanizmusát tekintve igen szerteágazó képességekkel bír: rengeteg módon képes terjedni, s az operációs rendszerbe számos helyen ássa bele magát.

A fertőzött e-mail tulajdonságai

Tárgy: számos figyelemfelkeltő sorból választ véletlenszerűen egyet
Tartalom:Hello readers,

I have just cleaned my computer from a highly damaging computer virus Which is spreading rapidly through computer networks worldwide.

There is one way to check to see if your computer is infected with this virus.

Click the ˝Start˝ menu at the bottom left of your screen.
Click the ˝Find˝ or ˝Search˝ button.
Click the ˝Files or folders…˝ option.
Then once the search application starts, type ˝Jdbgmgr.exe˝

If you have found this file, right-click on it and click the ˝Properties˝ tab.
If the Properties menu has a picture of a bear on it,
your computer is infected with this virus. (Note that the non-infected file picture has a hammer and a screwdriver shown in it)
You may delete this file, but this is not the only file that the virus infects,
To remove this virus, I have included a virus removal tool in the attachments ˝[csatolmány file neve]˝ that will scan all system files and remove any infectious code from them.
This virus removal tool is very easy to use. If you have any trouble with this tool, read the help menu that the removal tool supplies.

If your computer is infected with this virus, It is strongly recommended that you send this removal tool to as many people as you can to help remove the traces of this virus worldwide.
Csatolmány: váltakozó nevek, a kiterjesztése COM, EXE vagy PIF

A féreg paraméterei

Felfedezésének ideje: 2002. december 31.
Védekezés elkészültének ideje: 2003. január 2.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux, OS/2
Mérete: 19.968 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a Windows könyvtárba az alábbi neveken:
Autotest.com, Startwin.com, TaskBoot.com, Winboot32.com, Jdbgmgr.exe, Compile32.pif, Security.pif, Uninstall32.pif, Windows Startup.pif
– felmásolja magát a Windows/COMMAND/EBD/ könyvtárba Winexec.bat, a Windows/Start Menu/Programs/Startup könyvtárba SysTray.pif néven
– felmásolja a következő neveken a System könyvtárba magát: Autoexec32.bat, Jdbgmgr.exe, Memory.com, RecoveryWorm32.scr
– a Temp könyvtárba felmásolja magát Jdbgmgr.exe, a C gyökerébe FixTool.exe néven
– felmásolhatja magát a System könyvtárba a következő file-nevek egyikén (a kiterjesztés EXE, COM vagy PIF):
Killvirus, Killvir, Fixvir, Fixtool, Removal, Recovery, Virusfix, Virusremove, Cleaner, Cleanvir, Scan32, Scanvir, Cleanvirus, Removal32, Deletevir
– hozzáadja az Msdos32 [System elérési útvonala]/Msdos32.pif bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– amennyiben a System könyvtárban nem találja meg a RecoveryWorm32.scr állományt, vagy a rendszerdátum a következők egyike: január 16, március 16, május 16, július 16, szeptember 16 vagy november 16 és a következő állományokat megtalálja:
System/Msdos32.pif, Windows/TaskBoot.com, System/Autoexec32.bat, Windows/Autotest.com; megjelenít egy ablakot It seems to me that your computer is in need of an urgent recovery! szöveggel
– file-megosztó programok (Kazaa, Bearshare, Morpheus, Grokster stb.) után keres, ha talál, akkor azok megosztott könyvtáraiba felmásolja magát különböző figyelemfelkeltő neveken
– átnézi a rendszert a mirc.ini file után kutatva, amennyiben rábukkan, felmásolja magát a Windows könyvtárba VVideo1.mpg néven és átírja a Script.ini állományt
– a Pirch32.exe után is keresgél, ha megleli, bemásolja magát a System könyvtárba Video.mpg névvel és felülírja az Events.ini állományt
– létrehozza a HKEY_CURRENT_USER/Software/Zed/[rRlf]/Recovery/1.0 Registry kulcsot, majd (Default) értékét a következőre állítja: W32/Recovery family worm by Zed/[rRlf]
– a Windows Address Bookból megszerzett információk alapján továbbítja magát a korábban ismertetett e-mail karakterisztikában



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek