Connect with us

technokrata

Drogmámort ígérő féregvírus

Dotkom

Drogmámort ígérő féregvírus

Hogyan kell megfőzni a kannabiszt? Miként nőnek a bódulatot hozó gombák? Ezekre választ nem ad a féreg, de legalább megfertőzi a számítógépet.

A féreg paraméterei

Felfedezésének ideje: 2003. március 16.
Védekezés elkészültének ideje: 2003. március 18.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 167.936 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: közepes
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– abban az esetben, ha a számítógép már korábban meg volt fertőzve a féreggel, megjelenít egy Microsoft Internet Update Pack fejlécű ablakot, melyben azt közli a felhasználóval, hogy a ˝frissítés˝ telepítésére nincsen szükség
– ha a féreg rálel a rendszerre telepített WinRAR vagy WinZIP programokra, akkor megkísérli betömöríteni magát a Windows könyvtárban a következő néven: [véletlenszerűen létrehozott név].zip
– a féreg megjelenít egy véletlenszerűen generált álüzenetet, és választás elé állítja a felhasználót
– számos behatolásvédelmi, felhasználói program futó processét le tudja állítani; ezzel meg is próbálkozik
– felmásolja magát a Temporary könyvtárban létrehozott, véletlenszerű néven megalkotott könyvtárba, a következő nevek egyikén (.exe kiterjesztéssel):
IEPatch
KaZaA upload
Porn
Sex
Xbox Emulator
PS2 Emulator
XP update
XXX Video
Sick Joke
Free X
My naked sister
Hallucinogenic Screensaver
Cooking with Cannabis
Magic Mushrooms Growing
orm_Gibe.C Cleaner
ICQ upgrade
KaZaA spyware patch
BillGates
WinZip
Download Accelerator
Hackers Guide
Psycho
– felmásolja magát a Windows könyvtárba EXE és DLL formátumban
– a következő adatfile-okat másolja fel a rendszerre:
[Windows elérési útvonala]/swen.lst
[Temporary könyvtár elérési útvonala]/searched.lst
– hozzáadja a [véletlenszerűen létrehozott név] [Windows elérési útvonala]/[véletlenszerűen létrehozott név].exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/CurrentVersion/Run Registry kulcshoz
– a következő Registry kulcsok default értékét ˝[Windows elérési útvonala]/[véletlenszerűen létrehozott név].exe˝ %1 %*-ra állítja be:
HKEY_CLASS_ROOT/exefile/shell/open/command/
HKEY_CLASS_ROOT/comfile/shell/open/command/
HKEY_CLASS_ROOT/batfile/shell/open/command/
HKEY_CLASS_ROOT/piffile/shell/open/command/
– a HKEY_CLASS_ROOT/regfile/shell/open/command/ kulcs alapértékét ˝[Windows elérési útvonala]/[véletlenszerűen létrehozott név].exe˝ failure bejegyzésre változtatja
– megváltoztatja a HKEY_CLASS_ROOT/scrfile/shell/open/command/ kulcs alapértékét, mégpedig a következőre:
˝[Windows elérési útvonala]/[véletlenszerűen létrehozott név].exe˝ %1 /S
– létrehoz egy véletlenszerű néven a következő Registry kulcsban egy alkulcsot: HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Internet Settings/
– ehhez hozzáad számos bejegyzést
– amennyiben talál Mircet a rendszeren megpróbálkozik a Script.ini felülírásával, így IRC-n keresztül is terjeszkedni képessé válik



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek