Connect with us

technokrata

Megsemmisülhet az összes MP3 állományunk – egy féreg intézkedik az ügyben

Dotkom

Megsemmisülhet az összes MP3 állományunk – egy féreg intézkedik az ügyben

Akár a számítógépen levő összes MP3 file-t letörölheti a Bibrog féreg B variánsa, mely elég széles körben igyekszik elszaporítani magát.

A fertőzött e-mail tulajdonságai

Tárgy: Fwd:La Academia Azteca
Tartalom: La cacademia azteca (muy bueno) ¡no es virus!
Csatolmány: Academia.exe

A féreg paraméterei

Felfedezésének ideje: 2003. március 6.
Védekezés elkészültének ideje: 2003. március 7.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, UNIX, Linux
Mérete: 245.760 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– megnyit egy alkalmazást, ami egy lövöldözős programnak tűnik
– felmásolja magát a System könyvtárba academia.exe, a Windows könyvtárába manzana.exe, valamint a Startup könyvtárba Itch.exe és Itcj.exe néven
– létrehozza a Windows könyvtárban a Mai.vbs állományt (ez mindössze 2 byte hosszú)
– felmásolja magát az alábbi neveken a következő helyekre:
C:/Program Files/KaZaA/My Shared Folder/Kylie_Minogue_screensaver.exe
C:/Program Files/KaZaA/My Shared Folder/Shakira_screensaver.exe
C:/Program Files/Grokster/My Grokster/Kylie_Minogue_screensaver.exe
C:/Program Files/Grokster/My Grokster/Shakira_screensaver.exe
C:/Program Files/Morpheus/My Shared Folder/Kylie_Minogue_screensaver.exe
C:/Program Files/Morpheus/My Shared Folder/Shakira_screensaver.exe
C:/Program Files/ICQ/shared files/Kylie_Minogue_screensaver.exe
C:/Program Files/ICQ/shared files/Shakira_screensaver.exe
– letörölheti azon állományokat, melyeknek kiterjesztése valamelyik a következők közül: .zip, .jpg, .gif, .mp3, .mpg, .dbf, .exe, .dll

A számítógép újraindítása után bekövetkező események

– az Itch.exe és az Itcj.exe lefutnak a Startup könyvtárból
– létrehozzák az alábbi Registry kulcsokat:
HKEY_CURRENT_USER/Software/VB and VBA Program Settings
HKEY_CURRENT_USER/Software/VB and VBA Program Settings/ezzey/vari
– Outlook segítségével továbbítja magát az összes kontakt számára, melyeket az Outlook Address Bookjából szedett ki
– létrehozza a Windows könyvtárban az Osiris.bmp (54.594 byte) és a Quiettime.bmp (327.222 byte) file-okat
– megváltoztatja a Windows wallpaperjét a fenti két állomány egyikére a Win.ini módosításával
– létrehozza a következő file-okat a My Document folderben:
Acafug.htm – 7.622 byte
Banamex.htm – 7.622 byte
Citibank.htm – 26.212 byte
Hotmail.htm – 10.072 byte
Msn.htm – 20.611 byte
Yahoo.htm – 15.382 byte
– a fenti állományok mind népszerű oldalak bejelentkező oldalát imitálják, pedig valójában kicsalják a felhasználó azonosítóját



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek