Connect with us

technokrata

Újabb változat a Lovgate féregvírusból

Dotkom

Újabb változat a Lovgate féregvírusból

Az utóbbi idők leggyakrabban mutálódó férge egy újabb varinással ˝örvendeztette˝ meg az internetezőket.

A fertőzött e-mail tulajdonságai

Tíz, előre generált sémából választ egyet véletlenszerűen.

Tárgy: Documents
Csatolmány: Docs.exe
Tartalom: Send me your comments…

Tárgy: Roms
Csatolmány: Roms.exe
Tartalom: Test this ROM! IT ROCKS!.

Tárgy: Pr0n!
Csatolmány: Sex.exe
Tartalom: Adult content!!! Use with parental advisory.

Tárgy: Evaluation copy
Csatolmány: Setup.exe
Tartalom: Test it 30 days for free.

Tárgy: Help
Csatolmány: Source.exe
Tartalom: I´m going crazy… please try to find the bug!

Tárgy: Beta
Csatolmány: _SetupB.exe
Tartalom: Send reply if you want to be official beta tester.

Tárgy: Do not release
Csatolmány: Pack.exe
Tartalom: This is the pack 😉

Tárgy: Last Update
Csatolmány: LUPdate.exe
Tartalom: This is the last cumulative update.

Tárgy: The patch
Csatolmány: Patch.exe
Tartalom: I think all will work fine.

Tárgy: Cracks!
Csatolmány: CrkList.exe
Tartalom: Check our list and mail your requests!

A féreg paraméterei

Felfedezésének ideje: 2003. március 3.
Védekezés elkészültének ideje: 2003. március 4.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 83.910 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: közepes
Eltávolítása: könnnyű

Aktiválódása esetén lezajló események

– a következő neveken másolja fel magát a System könyvtárba: WinRpcsrv.exe, syshelp.exe, winrpc.exe, WinGate.exe, rpcsrv.exe
– hozzáadja a run=rpcsrv.exe sort a Win.ini állomány [windows] részéhez
– hozzáadja a következő bejegyzéseket a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz:
syshelp [System elérési útvonala]/syshelp.exe
WinGate initialize [System elérési útvonala]/WinGate.exe -remoteshell
Module Call initialize RUNDLL32.EXE reg.dll ondll_reg
– a 10168-as porton hallgatózik, és e-mailen keresztül értesíti a támadót (a féreg egyébként egy jelszavas azonosítási rendszerrel bír; a megfelelő jelszó bevitele után egy command shell várja a támadót)
– abban a könyvtárban, ahol futtatásra került, illetve a Windows és a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Shell Folders/Personal Registry kulcs bejegyzése által megjelölt könyvtárban ht kezdetű kiterjesztéssel bíró állományok után keres, amennyiben talál, kigyűjti belőlük az e-mailcímeket, majd ezekre továbbítja magát
– emellett válaszol is a bejövő e-mailekre a következőképp:
Tárgy: Re: [a bejövő postafiókban levő e-mail tárgya]
Címzett: SMTP: [e-mailcím]
Tartalom:
[Név] wrote:
===
> [eredeti tartalom]
>
===

[URL] account auto-reply:

´ I´ll try to reply as soon as possible.
Take a look to the attachment and send me your opinion! ´

> Get your FREE [URL] account now! <
Csatolmány: a következőkből egy:
pics.exe, images.exe, joke.exe, pspgame.exe, news_doc.exe, hamster.exe, tamagotxi.exe, searchurl.exe, setup.exe, card.exe, billgt.exe, midsong.exe, s3msong.exe, docs.exe, humor.exe, fun.exe
– a fenti állományokat megpróbálja a hálózaton megosztott könyvtárakba is felmásolni



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek