Connect with us

technokrata

Hogyan pörgessük fel üzletmenetünket? – érkezik a merevlemez formázó féregvírus

Dotkom

Hogyan pörgessük fel üzletmenetünket? – érkezik a merevlemez formázó féregvírus

A Maax nevű féreg B változata a rendszerbe számos helyen befurakszik, s a legrosszabb esetben a felhasználó összes adata odaveszhet a fertőzés következtében.

A fertőzött e-mail jellemzői

Tárgy: a következőkből választ egyet véletlenszerűen:
.WHEN US GOVERMENT TO STOP THE INVADED IN IRAQ?!
.News: US vs Iraq Issue
.Strike on Iraq
.Hi! 😉
.Good Idea For ya!
.DAA Holding have an Idea for Bussiness man
.Great Job for Professional Programmer
.Trade and Care about customer!
.Don´t missed Logon to DAABussiness.com
.Are you a Bussiness man?
.How to make a money in one day?
.Care to trade world map?
.How to prevent from Pirate CD!
.Job for you!
.Do you have an enough salaries for you job?
.Don´t waste your money!
.HAVE A NICE DAY!
.Why US invade on Iraq?
.No More Blood!
.HOW TO PREVENT YOUR EMAIL FROM VIRUSES?
Csatolmány: Tca.exe
Tartalom:
Dear Mr/Mrs/Sir/Mdm,
Are you tired to get the customer. It is important to know how to make your bussiness more efficient.
To get a tips and more advise. You can download it from the attachment or just click here [egy futtatható állományra mutató weblink] to download from our FTP site.
Regard,
Yamamoto Hashimura,
Software Engineer of DAA Holding

A féreg paraméterei

Felfedezésének ideje: 2003. május 14.
Védekezés elkészültének ideje: 2003. május 16.
Veszélyeztetett operációs rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 14.336 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– megjeleníti az Axam Spitmaxa Worm II fejlécű ablakot
– felmásolja magát a következő helyekre:
[Windows elérési útvonala]/command.exe
[Windows elérési útvonala]/regedit.exe
[Windows elérési útvonala]/setup_axm.exe
[System elérési útvonala]/iosys.exe
[System elérési útvonala]/msconfig.exe
[System elérési útvonala]/taskmgr.exe
– megkeresi az aktuális felhasználó Application Data és Startup könyvtárát, a Registry megvizsgálásával; ezekre a helyekre bemásolja magát Axam.exe néven, csak olvasható, rejtett és rendszer attributummal
– bemásolja magát a következő könyvtárakba, ha azok léteznek:
[Program Files elérési útvonala]/Kazaa/My Shared Folder/FlashMXPlayer.exe
[Program Files elérési útvonala]/KaZaA Lite/My Shared Folder/XiaoXiao.exe
[Program Files elérési útvonala]/BearShare/Shared/setup.exe
[Program Files elérési útvonala]/Edonkey2000/Incoming/RA2_Update.exe
[Program Files elérési útvonala]/limewire/Shared/FixRUNDLL bugs.exe
[Program Files elérési útvonala]/KMD/My Shared Folder/AXM_WORM.exe
[Program Files elérési útvonala]/Morpheus/My Shared Folder/Bugbear_Removal.exe
[Program Files elérési útvonala]/Grokster/My Grokster/SEXisFUN.exe
– felmásolja magát az összes meghajtó gyökerébe axam_screensaver.scr néven
– hozzáadja a sysaxam32=[Application Data könyvtár elérési útvonala]/Axam.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– a HKEY_LOCAL_MACHINE/SOFTWARE/CLASSES/.exe Registry kulcs default értékét módosítja Spitmaxa-ra
– létrehoz egy Spitmaxa alkulcsot a HKEY_LOCAL_MACHINE/SOFTWARE/CLASSES Registry kulcsban
– módosítja a Win.ini állományt a következőképpen:
[windows]
load=[Windows elérési útvonala]/setup_axm.exe
run=[System elérési útvonala]/iosys.exe
– módosítja a system.ini állományt a következőképpen:
[boot]
shell=Explorer.exe setup_axm.exe
– felülírhatja a C meghajtó gyökerében levő autoexec.bat állományt úgy, hogy rendszerinduláskor ezen módosítás révén a C és a D meghajtó formattálásra kerül (ez csak Windows 95/98/Me alatt működik)
– letöröl minden állományt a floppy meghajtóban levő lemezről
– a felhasználó MAPI programja révén a levelező-kliens Address Bookjában található összes kontakt számára továbbítja magát, a már fent ismertetett karakterisztikában
– megpróbálkozik behatolásvédelmi processek leállításával



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek