Connect with us

technokrata

VBS.Moon.B – modemállítgató trójai program

Dotkom

VBS.Moon.B – modemállítgató trójai program

Az Internet Explorer kezdőlapjának megváltoztatásával és a modem hangszórójának állítgatásával foglalkozik.

A trójai program tulajdonságai

Felfedezésének ideje: 2003. január 14.
Utolsó frissítés ideje: 2003. január 15.
Veszélyeztetett rendszerek: Windows 3.x/9x/Me/NT/2k/XP
Nem érintett rendszerek: Microsoft IIS, Macintosh, Unix, Linux, OS/2
Mérete: 3.900 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódásakor bekövetkező események

– felmásolja magát a Windows könyvtárba Fotompg.vbs néven
– hozzáadja az explorer ˝wscript.exe fotompg.vbs %˝ bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– a Start Page http:/www.kogalu.com/sou/internz/enter3.htm érték HKEY_CURRENT_USER/SOFTWARE/Microsoft/Internet Explorer/Main Registry kulcshoz való hozzáadásával megváltoztatja az Internet Explorer kezdőlapját
– lecsökkenti az Internet Explorer biztonsági szintjét a 1004 00 érték HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/3 Registry kulcshoz való hozzáadásával
– elnémítja a modem speakerét a következő bejegyzésekkel:
a HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Class/Modem/0000/Settings Registry kulcshoz:
SpeakerMode_Dial “M0”
SpeakerMode_Off “M1”
a HKEY_LOCAL_MACHINE/RemoteAccess Registry kulcshoz:
DialUI 00000007
– a Windows könyvtárban leellenőrzi az XXX_Adult.exe meglétét, ha nem találja, hozzáadja az explorervs 00 bejegyzést a HKEY_CURRENT_USER/software/moon Registry kulcshoz, és megváltoztatja az Internet Explorer kezdőlapját a következőre: http://www.viplegal.com/cgi-bin/top/in.cgi?id=omanko
– leellenőrzi, hogy a rendszerdátum megegyezik e a következő számokkal: 1, 3, 5, 7, 9, 11, 13, 15, 17, 19, 21, 23, 25, 27, 30
– ha igen, akkor újfent leellenőrzi az XXX_Adult.exe állomány meglétét, ha megtalálja, akkor ismét lehalkítja a modemet és futtatja is a file-t
– amennyiben nem találta meg, akkor megismétli a 3., a 4. és az 5. lépést, majd újfent beállítja a kezdőlapot a következőre: http://www.viplegal.com/cgi-bin/top/in.cgi?id=omanko
– ha nem egyezik meg a fenti dátumokkal, akkor leellenőrzi az XXX_Adult.exe meglétét a Windows könyvtárban, majd lehalkítja a modemet és futtatja az előbb említett file-t



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek