Connect with us

technokrata

W32.Sobig.A@mm – filmnek (is) álcázott féregvírus

Dotkom

W32.Sobig.A@mm – filmnek (is) álcázott féregvírus

A Sobig A változata nem csak e-maileken, hanem hálózati megosztások révén is képes terjedni.

A fertőzött e-mail tulajdonságai

Tárgy: egy a következőkből:
Re: Movies
Re: Sample
Re: Document
Re: Here is that sample
Csatolmány: a lenti variációkból választ egyet:
Movie_0074.mpeg.pif
Document003.pif
Untitled1.pif
Sample.pif

A féreg paraméterei

Felfedezésének ideje: 2003. január 9.
Védekezés elkészültének ideje: 2003. január 9.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux, OS/2
Mérete: 65.536 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a Windows könyvtárba Winmgm32.exe néven
– létrehoz egy Winmgm32.exe nevű processt start paraméterrel, amely a következőket csinálja:
– létrehoz egy Worm.X nevű mutexet
– létrehoz egy végrehajtási szálat, hogy elküldjön egy üzenetet a pagers.icq.com URL-re
– létrehoz egy másik végrehajtási szálat, hogy tartalmat tölthessen le egy website-ról
– létrehoz egy harmadik végrehajtási szálat is, amellyel hálózati megosztások után keres; ha talál, akkor a célgépen az alábbi könyvtárakba másolja be magát:
Windows/All Users/Start Menu/Programs/StartUp
Documents and Settings/All Users/Start Menu/Programs/Startup
– végül létrehoz még egy végrehajtási szálat, melyben elküldi magát azon e-mailcímekre, melyeket a következő kiterjesztésű állományokból bányászott elő: .txt, .eml, .html, .htm, .dbx, .wab
– hozzáadja a WindowsMGM [Windows elérési útvonala]/Winmgm32.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek