Connect with us

technokrata

W32.Campurf@mm – boldog új évet féregvírus

Dotkom

W32.Campurf@mm – boldog új évet féregvírus

Többek között boldog új évet is tud kívánni a féreg – akár ilyen néven is találkozhat vele a felhasználó, ha nem elég óvatos.

A fertőzött e-mail tulajdonságai

Tárgy: Some One Looking for you!
Tartalom: How to get a money in one days bussiness? The answer is inside the attachment.
Csatolmány: Fc.exe

A féreg paraméterei

Felfedezésének ideje: 2003. január 2.
Védekezés elkészültének ideje: 2003. január 3.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux, OS/2
Mérete: 18.432 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– meghatározza a felhasználó Application Data és Startup könyvtárának helyét a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Shell Folders Registry kulcs átnézésével
– felmásolja magát a felhasználó Application Data könyvtárába Runfc.exe néven, rendszer és rejtett attributummal
– felmásolja magát a felhasználó Startup könyvtárába FatCat.exe névvel
– hozzáadja a [felhasználó Application Data könyvtárának elérési útvonala]/Runfc.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– felmásolhatja magát a Windows telepítőkönyvtárába Fc.exe néven
– megkeresi az Internet Explorer letöltési könyvtárát, melynek helyét a következő Registry kulcsból szedi ki: KEY_CURRENT_USER/Software/Microsoft/Internet Explorer
– bemásolja ide magát véletlenszerűen választott neveken; néhány példa:
Ghostreacon.avi
Happynewyear.jpg
Run in the sky.mov
Rice and curry.mp3
Bugbear solution.mpg
What and who.gif
Flash animation.swf
Estimate.mp4
Hackers description.doc
HOW TO BLOCK AN EMAIL THAT CONTAIN A VIRUS.txt
– az Internet Explorer kezdőlapját az alábbi URL-re állítja: http://vx.netlux.org/~melhacker/fc.exe.
– letörölheti a következő állományokat a Windows könyvtárból: System.dat, User.dat, System.da0, User.da0
– képes behatolásvédelmi programok futó processeit leállítani
– Microsoft Outlookon keresztül továbbítja magát a fent ismertetett karakterisztikában az Address Bookból kigyűjtött e-mailcímekre



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek