Connect with us

technokrata

W32.Alco.AB@mm – hiba a hálózatban?

Dotkom

W32.Alco.AB@mm – hiba a hálózatban?

Egy Internet-szolgáltatótól érkező levélnek tűnik a féreg álcája, melyben arról próbálja meggyőzni a felhasználót, hogy hiba lépett fel a levelezésben, ezért a mellékelt (nem mellesleg vírusos) file-t nyissa meg.

A fertőzött e-mail paraméterei

Feladó: Chief Skaler [admin@evol.com]
Tárgy: Evol Worm
Csatolmány: Errorlog.exe
Tartalom: There was an error with your smtp provider please read the datalink and send a copy to your ISP. Error1106 : Dead datalink (report is attatched).

A féreg tulajdonságai

Felfedezésének ideje: 2003. március 11.
Utolsó frissítés ideje: 2003. március 12.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP, Microsoft IIS
Nem érintett rendszerek: Windows 3.x, Macintosh, OS/2, UNIX, Linux
Mérete: 57.344 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódásakor bekövetkező események

– felmásolja magát a következő helyekre az alábbi neveken:
C:/Windows/Taskman.exe
C:/Windows/Notepad.exe
C:/Windows/Wjview.exe
C:/Windows/Errorlog.exe
C:/Windows/System/_.dat (rejtett és csak olvasható attributummal)
C:/Windows/System/Errorlog.exe
C:/Windows/System32/Errorlog.exe
C:/Win/errorlog.exe
C:/Program Files/Evol.exe
C:/Program Files/Esn.exe
C:/Program Files/Uninstall.exe
C:/Program Files/Kazaa/My shared folder/Unreal 2003 no cd patch.exe
C:/Program Files/Kazaa/My shared folder/Unreal no cd patch.exe
C:/Program Files/Bearshare/shared/Unreal 2003 no cd patch.exe
C:/Program Files/Bearshare/shared/Unreal no cd patch.exe
C:/Program Files/eDonkey2000/Incoming/Unreal 2003 no cd patch.exe
C:/Program Files/eDonkey2000/Incoming/Unreal no cd patch.exe
C:/INETPUB/Wwwroot/Evol.exe
A:/AutoExec.exe
– létrehozza a C meghajtó gyökerében a T.txt állományt
– megkísérli módosítani a HKEY_CLASSES_ROOT/exefile/shell/open/command Registry kulcs default értékét a következőre: C:/Program Files/msn.exe
– a fenti változtatást követően minden alkalommal, amikor a felhasználó egy EXE file-t futtatna, a féreg indul el
– létrehozza a következő állományokat:
C:/INETPUB/WWWROOT/Default.htm
C:/INETPUB/WWWROOT/Index.htm
C:/INETPUB/WWWROOT/Index.html
– létrehozza az alábbi helyek egyikén (vagy felülírja, ha már létezik) a Script.ini állományt:
C:/Program Files/mIRC
C:/Program Files/mIRC32
C:/mIRC
C:/mIRC32
– a fenti módosítás révén mindenkinek továbbítja magát automatikusan a féreg, aki a fertőzött számítógéppel egy csatornán tartózkodik az IRC-n
– megnyit egy véletlenszerűen megválasztott TCP portot
– HTML állományokból szerzett e-mailcímekre küldi tovább magát a fent ismertetett karakterisztikában



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek