Connect with us

technokrata

W32.HLLW.Ducktest – ˝felülfertőzést˝ okozó féregvírus

Dotkom

W32.HLLW.Ducktest – ˝felülfertőzést˝ okozó féregvírus

A Ducktest egy másik kórokozót is letölt az Internetről, sőt, még pofátlan módon ki is nyomtatja saját kódját működési rutinja végeztével, ha talál a helyi hálózaton nyomtatót.

A féreg paraméterei

Felfedezésének ideje: 2003. március 14.
Védekezés elkészültének ideje: 2003. március 17.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 15.872 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: közepes
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– leellenőrzi saját file-nevét, ha az WinQak32.exe, akkor megjelenít egy ablakot, mely egy DoS támadást indítani képes program felülete
– amennyiben a fertőzött számítógép tulajdonosa beír egy valós IP-címet vagy URL-t, és elindítja a folyamatot, a Ducktest TCP SYN kérelmekkel árasztja el a célba vett website-ot
– létrehozza a PkF*** alkulcsot a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft Registry kulcsban
– Windows 9x/Me alatt service processként regisztrálja magát, így működése csak shutdownnal állítható le
– rejtett attributummal felmásolja magát a System könyvtárba WinQak32.exe néven
– hozzáadja a WinQak32 [System elérési útvonala]/WinQak32.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– a www.geocities.com egyik oldaláról letölti az Aaa.zip állományt, melyet a fertőzött rendszeren S*its4U.exe néven ment el (a Symantec vírusdetektor eszközei ezt W32.Yaha.P@mm-nek ismerik fel)
– felmásolja magát minden hálózati meghajtóra és megosztásra WinQak32.exe néven
– beilleszti az alábbi sort a Win.ini file-ba:
run=Winqak32.exe
– felmásolhatja magát a hálózati megosztásokra a következőképpen is: Documents and Settings/All Users/Start Menu/Programs/Startup/WinQak32.exe
– a féreg készítőjének fricskája képpen kinyomtathatja saját kódját a hálózati nyomtatón



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek