Connect with us

technokrata

W32.Yaha.I@mm – multifunkciós féregvírus

Dotkom

W32.Yaha.I@mm – multifunkciós féregvírus

Kezdőlapot átállít, egérgomb funkciókat felcserél, DoS támadást indít, file-okat töröl – igen sokrétű a Yaha féreg működési mechanizmusa.

A fertőzött e-mail tulajdonságai

Tárgy: véletlenszerűen választott szöveg
Tartalom: egy tizes listából választ egyet véletlenszerűen
Csatolmány: egy listából választ nevet magának, a kiterjesztése a következők egyike lehet: .scr, .com, .exe

A féreg paraméterei

Felfedezésének ideje: 2003. március 26.
Védekezés elkészültének ideje: 2003. március 26.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 38.912 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja a System könyvtárba, rejtett attributummal a következő file-okat: WinServices.exe, Nav32_loader.exe, Tcpsvs32.exe
– hozzáadja a WinServices.exe C:/[System elérési útvonala]/winRWinServices.exe bejegyzést az alábbi Registry kulcsokhoz:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
– minden exe file futtatásakor elindításra kerül, köszönhetően a HKEY_LOCAL_MACHINE/Software/Classes/exefile/shell/open/command Registry kulcs default értékének C:/[System elérési útvonala]/WinServices.exe˝%1 %* bejegyzésre való módosításának
– felmásolja magát a System könyvtárba a következő file-nevek egyikén:
. Hotmail_hack.exe
. Friendship.scr
. World_of_friendship.scr
. Shake.scr
. Sweet.scr
. Be_happy.scr
. Friend_finder.exe
. I_like_you.scr
. Love.scr
. Dance.scr
. Gc_messenger.exe
. True_love.scr
. Friend_happy.scr
. Best_friend.scr
. Life.scr
. Colour_of_life.scr
. Friendship_funny.scr
. Funny.scr
– antivírus és tűzfal szoftverek processeit képes kiiktatni
– DoS támadást indít a www.infopak.gov.pk website ellen
– megkeresi a Windows Address Book állományt, az MSN Messenger kontaktlistáját, a Yahoo pager kontaktlistáját és begyűjti ezekből az e-mailcímeket
– saját SMTP motorjával továbbítja magát
– amennyiben a rendszerdátum március 22-e vagy május 25-e, megjelenít egy ablakot, melynek fejléce: You are my best friend, szövege: Happy Birthday Dear; egyúttal megcseréli az egér jobb és bal gombjának funkcióját
– keddenként véletlenszerűen átállítja az Internet Explorer kezdőlapját, az alábbiakból válogatván:
http://www.unixhideout.com
http://www.hirosh.tk
http://www.neworder.box.sk
http://www.blacksun.box.sk
http://www.coderz.net
http://www.hackers.com/html/neohaven.html
http://www.ankitfadia.com
http://www.hrvg.tk
http://www.hackersclub.up.to
http://geocities.com/snak33y3s
– szintén ezen a napon megkeresi a felhasználó dokumentumainak helyét (a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Shell Folders Registry kulcsból gyűjti ki az információt), majd törli a könyvtárat
– létrehozza az aYeHS.txt file-t a desktopon, rejtett és arhív attributummal; az állomány a következő (vagy ehhez hasonló) tartalommal rendelkezik:
============================================================
r0xx pReSaNt$ W32.@YerH$.B (all r1ght$ re$erv3d.. 😉 )
w3 aRe tHe gRe@t 1nD1aN$..
——————————————————
m@iN mIssIoN iS t0 sPreAd tHe nAmE @YerH$
s00 mUch t0 c0me..
iNclUdEd DDoS c0mp0neNtS c@usE oF sHiT p@kI l@meRs

eXp3ct th3 uNeXp3ctEd

dEdic@t3d t0 : mY b3$t fRi3nD
============================================================
>> qph@hackermail.com



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek