Connect with us

Hirdetés

technokrata

Újabb változat a Lovgate féregvírusból

Dotkom

Újabb változat a Lovgate féregvírusból

Az utóbbi idők leggyakrabban mutálódó férge egy újabb varinással ˝örvendeztette˝ meg az internetezőket.

A fertőzött e-mail tulajdonságai

Tíz, előre generált sémából választ egyet véletlenszerűen.

Tárgy: Documents
Csatolmány: Docs.exe
Tartalom: Send me your comments…

Tárgy: Roms
Csatolmány: Roms.exe
Tartalom: Test this ROM! IT ROCKS!.

Tárgy: Pr0n!
Csatolmány: Sex.exe
Tartalom: Adult content!!! Use with parental advisory.

Tárgy: Evaluation copy
Csatolmány: Setup.exe
Tartalom: Test it 30 days for free.

Tárgy: Help
Csatolmány: Source.exe
Tartalom: I´m going crazy… please try to find the bug!

Tárgy: Beta
Csatolmány: _SetupB.exe
Tartalom: Send reply if you want to be official beta tester.

Tárgy: Do not release
Csatolmány: Pack.exe
Tartalom: This is the pack 😉

Tárgy: Last Update
Csatolmány: LUPdate.exe
Tartalom: This is the last cumulative update.

Tárgy: The patch
Csatolmány: Patch.exe
Tartalom: I think all will work fine.

Tárgy: Cracks!
Csatolmány: CrkList.exe
Tartalom: Check our list and mail your requests!

A féreg paraméterei

Felfedezésének ideje: 2003. március 3.
Védekezés elkészültének ideje: 2003. március 4.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 83.910 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: közepes
Eltávolítása: könnnyű

Aktiválódása esetén lezajló események

– a következő neveken másolja fel magát a System könyvtárba: WinRpcsrv.exe, syshelp.exe, winrpc.exe, WinGate.exe, rpcsrv.exe
– hozzáadja a run=rpcsrv.exe sort a Win.ini állomány [windows] részéhez
– hozzáadja a következő bejegyzéseket a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz:
syshelp [System elérési útvonala]/syshelp.exe
WinGate initialize [System elérési útvonala]/WinGate.exe -remoteshell
Module Call initialize RUNDLL32.EXE reg.dll ondll_reg
– a 10168-as porton hallgatózik, és e-mailen keresztül értesíti a támadót (a féreg egyébként egy jelszavas azonosítási rendszerrel bír; a megfelelő jelszó bevitele után egy command shell várja a támadót)
– abban a könyvtárban, ahol futtatásra került, illetve a Windows és a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Shell Folders/Personal Registry kulcs bejegyzése által megjelölt könyvtárban ht kezdetű kiterjesztéssel bíró állományok után keres, amennyiben talál, kigyűjti belőlük az e-mailcímeket, majd ezekre továbbítja magát
– emellett válaszol is a bejövő e-mailekre a következőképp:
Tárgy: Re: [a bejövő postafiókban levő e-mail tárgya]
Címzett: SMTP: [e-mailcím]
Tartalom:
[Név] wrote:
===
> [eredeti tartalom]
>
===

[URL] account auto-reply:

´ I´ll try to reply as soon as possible.
Take a look to the attachment and send me your opinion! ´

> Get your FREE [URL] account now! <
Csatolmány: a következőkből egy:
pics.exe, images.exe, joke.exe, pspgame.exe, news_doc.exe, hamster.exe, tamagotxi.exe, searchurl.exe, setup.exe, card.exe, billgt.exe, midsong.exe, s3msong.exe, docs.exe, humor.exe, fun.exe
– a fenti állományokat megpróbálja a hálózaton megosztott könyvtárakba is felmásolni



Szólj hozzá!

További Dotkom

Hirdetés

Népszerű

Hirdetés

Technokrata a Facebookon

Hirdetés

IoT-Magazin.hu

Hirdetés

Kütyük

Smart home

Így képzelik el a magyarok az álomotthonukat

2024. március 20. szerda

Office

Foglalj helyet, hogy helyet foglalhass!

2024. március 13. szerda

Smart home

Okoskészülék vagy hagyományos háztartási gép?

2024. február 28. szerda
owlet care babafigyelő

Smart home

OWLET CARE a magyarországi piacon!

2024. február 26. hétfő
Hirdetés

Dotkom

Műszaki-Magazin.hu

Hirdetés