Connect with us

technokrata

W32.Kwbot.B.Worm – ha nincs Kazaa, nem terjed a féreg sem

Dotkom

W32.Kwbot.B.Worm – ha nincs Kazaa, nem terjed a féreg sem

A Kwbot féreg B variánsa a Kazaa hálózatát veszi igénybe szaporodásához, s trójai tulajdonságokkal is rendelkezik.

A féreg paraméterei

Felfedezésének ideje: 2003. január 2.
Védekezés elkészültének ideje: 2003. január 3.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux, OS/2
Mérete: 30.720 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba MSInstall61.exe néven
– hozzáadja az Internet Loader1 [System elérési útvonala]/MSInstall61.exe bejegyzést az alábbi Registry kulcsokhoz:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce
HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
– véletlenszerűen TCP/UDP portokat nyit meg, melyeken keresztül kapcsolatot létesít alkotójával
– önmagát a Kazaa alapértelmezett megosztott könyvtárába másolja (ha van ilyen a merevlemezen) több különböző néven; a lista:
Howtouseashell.exe
Visio.exe
Worldbook.exe
HotGirls.exe
Linux.exe
Gta3.exe
Driver.exe
Hack_aim.exe
How_to_hack.exe
Divx_pro.exe
Pamela_anderson.scr
Wc3_keygen.exe
Hotmail_hack.exe
– saját IRC-klienst tartalmaz, amellyel egy IRC-csatornához képes csatlakozni, ezen keresztül pedig a támadó parancsokat küldhet a trójai tulajdonságokkal is bíró féregnek



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek