Connect with us

technokrata

W32.HLLW.Backzat.C – képernyővédőnek álcázott féregvírus

Dotkom

W32.HLLW.Backzat.C – képernyővédőnek álcázott féregvírus

A Visual C++ programnyelven készített féreg nem sokban különbözik elődjétől, önmagát mókás képernyővédőnek igyekszik álcázni.

A fertőzött e-mail tulajdonságai

Tárgy: Heyhey!
Tartalom: Ya know man, I´ve seen funny things in my life but this screen saver beats them all, You have to check this out.
Csatolmány: BBbLWDB.Scr

A féreg paraméterei

Felfedezésének ideje: 2003. január 3.
Védekezés elkészültének ideje: 2003. január 6.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux, OS/2
Mérete: 68.608 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– megjelenít egy álhibaüzenetet a következő szöveggel: This program has encountered an error and needs to be close, please try again. If the problem persist try restarting your computer.
– TASKMOAN.EXE néven felmásolja magát a Windows és BBbLWDB.Scr néven a System könyvtárba
– hozzáadja a TaskSysStartBB C:/[Windows elérési útvonala]/TASKMOAN.EXE bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– hozzáadja a SysTrayStartLW C:/[System elérési útvonala]/BBbLWDB.Scr bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices Registry kulcshoz
– a HKEY_CURRENT_USER/Software/Kazaa/Transfer kulcsból megkeresi a Kazaa megosztott könyvtárát
– amennyiben ez a könyvtár létezik, a féreg felmásolja magát az alábbi helyekre a következő neveken:
C:/My Downloads/NUDIE SCREENSAVER.Scr
C:/Program Files/Grokster/My Grokster/KOF2K2.zip.EXE
C:/Program Files/ICQ/Shared Files/GAMECUBE EMU REALWORKING.EXE
C:/Program Files/EDonkey2000/Incoming/EminEmSpearsBritney.Scr
C:/Program Files/BearShare/Shared/XBOX EMU REALWORKING.EXE
C:/Program Files/Morpheus/My Shared Folder/HOT SEXY SCREENSAVER.Scr
[a Kazaa megosztott könyvtára]/Kira Kerner SCREENSAVER.Scr
– felmásolja magát Buddies4Eva.Scr néven a C:/Program Files/AIM95 könyvtárba
– létrehozza a Windows könyvtárban a Script.ini file-t, így Mircen keresztül is képes szaporodni
– létrehozza a Windows könyvtárban a rejtett atributummal bíró BBbLWDB.bat állományt és le is futtatja, amely révén e-mailen terjeszti tovább magát (az elrontott kód miatt ez a rutin nem megfelelően fut le)
– ha talál olyan meghajtót, amelynek betűjele G és Z közé esik, akkor annak gyökerébe másolja a Taskmoan.exe állományt
– képes különböző behatolásvédelmi szoftverek programjainak rendszerből való eltávolítására



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek