Connect with us

technokrata

VBS.Keinef – több variáns egy példányban

Dotkom

VBS.Keinef – több variáns egy példányban

A trójai és féreg tulajdonságokat egyaránt magán hordozó kártevő működéis mechanizmusa attól függ, a felhasználó melyik variánst ˝gyűjti˝ be.

A féreg tulajdonságai

Felfedezésének ideje: 2003. január 15.
Utolsó frissítés ideje: 2003. január 15.
Veszélyeztetett rendszerek: Windows 3.x/9x/Me/NT/2k/XP
Nem érintett rendszerek: Microsoft IIS, Macintosh, Unix, Linux, OS/2
Mérete: nem ismert
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódásakor bekövetkező események

A variáns

– módosítja a HKEY_CLASSES_ROOT/exefile/shell/open/command default értékét, mégpedig a következőre: ˝/Windows/wscript.exe˝ ˝˝ ˝%1˝ ˝%*
– a fenti változtatás okán a továbbiakban nem futtathatók az EXE állományok
– módosítja a HKEY_CLASSES_ROOT/comfile/shell/open/command default értékét, mégpedig a következőre: ˝/Windows/wscript.exe˝ ˝˝ ˝%1˝ ˝%*
– a fenti változtatás okán a továbbiakban nem futtathatók a COM állományok

B variáns

– leellenőrzi a rendszerdátumot, ha az 24-ére esik, a féreg létrehoz egy AppletSpammin.class Java Applet osztályt, és hozzáadja a Windows könyvtárban található Spoofing.htm file-hoz
– ezen HTML állományt megnyitja az Internet Explorerrel; mindezt úgy, hogy ez a felhasználó előtt rejtve marad
– megjelenít egy Windows Script Host fejlécű üzenetablakot
– felmásolja magát az összes hálózati meghajtóra Klm#.vbs néven
– módosítja a Win.ini állományt minden hálózati meghajtón (ahol megtalálja), mégpedig a következő sor hozzáadásával:
run=c:/klm#.vbs (ahol a # egy véletlenszerűen választott szám)

C variáns

– olyan file-ok után kutat a Windows könyvtárban, melyek tartalmazzák nevükben a PWL stringet; amennyiben talál egy ilyet, hozzáadja egy listához
– a listán levő összes állományt e-mail csatolmányként elküldi az ovg_psws@hotmail.com e-mailcímre, Password tárggyal; az e-mail tartalmazza a fertőzött számítógép nevét, a felhasználó nevét, a felhasználó domainjét, a bejegyzett cégnevét, a bejegyzett tulajdonos nevét és a platform típusát



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek