Connect with us

technokrata

PS2 emulátor – valójában féreg

Dotkom

PS2 emulátor – valójában féreg

A rendszerbe számos helyen befurakodó kártevő e-mailen, üzenőprogramokon, IRC-n és file-megosztó alkalmazásokon keresztül terjeszkedik.

A fertőzött e-mail tulajdonságai

Tárgy: Fw: Hello there.
Tartalom: Hey, I just recieved a screen saver in the mail and it is really cute. Take a loot.
Csatolmány: CuteKirby.Scr

A féreg paraméterei

Felfedezésének ideje: 2003. január 21.
Védekezés elkészültének ideje: 2003. január 23.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux, OS/2
Mérete: 108.544 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: köznnyű

Aktiválódása esetén lezajló események

– megjelenít egy álhibaüzenetet a következő szöveggel: There was a critical error in the application the video drivers could not load, if you continue to experience problems try restarting the computer.
– TaskSystemDll.exe és CuteKirby.Scr néven felmásolja magát a System könyvtárba
– felmásolja magát az összes logikai meghajtó gyökérkönyvtárába Kirbster.exe néven
– hozzáadja a WinSysStartUpWKbLw C:/[System elérési útvonala]/TaskSystemDll.Exe
bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– létrehozza a Windows könyvtárban a Kirbybmp.bmp állományt (1782 byte), mely nem fertőző
– átállítja az imént felmásolt állományra a Windows wallpaperjét
– hozzáadja a SCRNSAVE.EXE [System elérési útvonala]/CuteKirby.Scr bejegyzést a HKEY_CURRENT_USER/Control Panel/Desktop Registry kulcshoz
– létrehozza a Windows könyvtárban a KirbyWins.mp3 állományt, mely egy nem veszélyes, 66.003 byte hosszúságú médiafile
– megnyitja a felmásolt állományt
– a HKEY_CURRENT_USER/Software/Kazaa/Transfer kulcsból megkeresi a Kazaa megosztott könyvtárát
– amennyiben ez a könyvtár létezik, a féreg felmásolja magát az alábbi helyekre a következő neveken:
C:/My Downloads/ePs2e – PS2 Emulator.Exe
C:/Program Files/Grokster/My Grokster/AFI – 6 to 8.Mp3.Exe
C:/Program Files/ICQ/Shared Files/WinIso – Iso Ripper.Exe
C:/Program Files/EDonkey2000/Incoming/Feeder – Under The Weather.Mp3.Exe
C:/Program Files/BearShare/Shared/Therion – Nifelheim.Mp3.Exe
C:/Program Files/Morpheus/My Shared Folder/PennyWise – Land Of The Free.Mp3.Exe
[a Kazaa megosztott könyvtára]/Rage Against The Machine – Sleep Now In This Fire.Mp3.Exe
– létrehozza a Mirc könyvtárában a Script.ini file-t, így Mircen keresztül is képes szaporodni
– felmásolja magát CutiePinkKirby.Scr néven a C:/Program Files/AIM95 könyvtárba
– megkísérli felülírni az összes EXE file-t, de az elrontott kód miatt, minden induláskor csak egyet tud így tönkretenni
– ha a rendszerdátum vasárnap, létrehozza a következő állományokat:, KirbyFlooder.Vbs, KirbyFlooder.Bat, Kirbymail.vbs; ez utóbbit arra használja, hogy e-mailben továbbítsa magát az Outlookon keresztül, a már fent ismertetett karakterisztikában
– képes különböző behatolásvédelmi szoftverek programjainak rendszerből való eltávolítására



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek