Connect with us

technokrata

Túlterheléses támadást indító féregvírus

Dotkom

Túlterheléses támadást indító féregvírus

E-mailben és hálózati megosztásokon keresztül is szaporodik, keddenként újabb funkciókkal ˝örvendezteti˝ meg a felhasználót, leállítja a behatolásvédelmi programokat, átkonfigurálja a kezdőlapot: ez a Yaha féreg S változata.

A fertőzött e-mail tulajdonságai

Tárgy: véletlenszerűen választott szöveg
Tartalom: egy 22 elemből álló listából választ egyet véletlenszerűen
Csatolmány: egy listából választ nevet magának, a kiterjesztése a következők egyike lehet: .scr, .com, .exe

A féreg paraméterei

Felfedezésének ideje: 2003. május 1.
Védekezés elkészültének ideje: 2003. május 2.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 71.304 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja a System könyvtárba, rejtett attributummal a következő file-okat: exeLoader.exe, mstask32.exe
– hozzáadja a MicrosoftServiceManager C:/[System elérési útvonala]/mstask32.exe bejegyzést az alábbi Registry kulcsokhoz:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
– minden exe file futtatásakor elindításra kerül, köszönhetően a HKEY_LOCAL_MACHINE/Software/Classes/exefile/shell/open/command Registry kulcs default értékének C:/[System elérési útvonala]/exeLoader.exe˝%1 %* bejegyzésre való módosításának
– hozzáadja a ZoneChek nevű alkulcsot a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion Registry kulcshoz és annak alapértékét comsats.com-ra állítja
– hozzáad egy WinVer nevű alkulcsot a HKEY_LOCAL_MACHINE/Software/Microsoft Registry kulcshoz, melynek alapértékét a következőre állítja: drrguu
– hozzáadja a Snakes nevű alkulcsot a HKEY_LOCAL_MACHINE/Software/Microsoft Registry kulcshoz, majd ehhez a következő bejegyzéseket rögzíti:
. Author=R0xx
. Comments=This system belongs to the great Indians…
. Version=[egy szám]
. Web=http://www.indiansnakes.cjb.net
– felmásolja magát a System könyvtárba a következő file-nevek egyikén:
. Hotmail_hack.exe
. Friendship.scr
. World_of_friendship.scr
. Shake.scr
. Sweet.scr
. Be_happy.scr
. Friend_finder.exe
. I_like_you.scr
. Love.scr
. Dance.scr
. Gc_messenger.exe
. True_love.scr
. Friend_happy.scr
. Best_friend.scr
. Life.scr
. Colour_of_life.scr
. Friendship_funny.scr
. Funny.scr
– Windows 9x alatt service processként regisztrálja magát
– lezárja az összes ablakot, melynek fejlécében megtalálható az alábbi három szóösszetétel:
. Process Viewer
. Registry Editor
. System Configuration Utility
– antivírus és tűzfal szoftverek processeit képes kiiktatni
– Windows NT/2000/XP alatt automatikusan leállítja a Task Managert
– DoS támadást indít a következő website-ok ellen:
. kse.com.pk
. comsats.com
. pcb.gov.pk
. paki.com
. pakistan.gov.pk
– megkeresi a Windows Address Book állományt, az MSN Messenger kontaktlistáját, a Yahoo pager kontaktlistáját és begyűjti ezekből az e-mailcímeket
– saját SMTP motorjával továbbítja magát
– keddenként véletlenszerűen átállítja az Internet Explorer kezdőlapját a http://www.indiansnakes.cjb.net URL-re
– hálózati megosztások után keres és ha talál, felmásolja magát oda reg32.exe néven
– felmásolja magát a C:/Documents and Settings/All Users/Start Menu/Programs/Startup könyvtárba MSRegScanner.exe néven, és csak olvasható attributummal



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek