Connect with us

technokrata

Merevlemez-formázó féregvírus – III. változat

Dotkom

Merevlemez-formázó féregvírus – III. változat

A Naco féreg már C változatával riogatja a felhasználókat; ez a variáns is képes például a merevlemez leformázására.

A fertőzött e-mail jellemzői

Tárgy: a következőkből választ egyet véletlenszerűen:
. Out of my heart?
. Nelly Furtado!
. New! Dragon Ball Fx
. TIPs: HOW TO DEFACE A WEBSERVER?
. What New in The ScreenSaver!
. FoxNews Reporter: There are no Solution for SARS?
. Get Your Free XXX Password!
. Gotcha baby!
. Crack for Nokia LogoManager 1.3
. Help me plz?
. TechTV: New Anti Virus Software
. News: US Goverment try to make wars with Tehran.
. Re: are you married?(3)
. Seagate Baracuda 80GB for $???
. Small And Destrucive!
. Alert! New Variant Anacon.D has been detected!
. Free SMS Via NACO SMS!
. Patch for Microsoft Windows XP 64bit
. Your FTP Password: iuahdf7d8hf
. Get Free SMTP Server at Click Here!
Tartalom: a következők egyike
Hello dear,
I´m gonna missed you babe, hope we can see again!
In Love,
Rekcahlem ~<>~ Anacon

Hi babe, Still missing me! I have send to you a special gift I made it my own. Just for you. Check it out the attachment.
Your Love,
Rekcahlem

Great to see you again babe! This is file you want las week. Please don´t distribute it to other.
Regard,
V.C.

Attention!
Please do not eat pork! The SARS virus may come from the pig. So becareful. For more information check the attachment.
Regard, WTO

You may not see the message because the message has been convert to the attachment. Please open an attachment to see the message.
Csatolmány: Anacon32.exe

A féreg paraméterei

Felfedezésének ideje: 2003. június 2.
Védekezés elkészültének ideje: 2003. június 2.
Veszélyeztetett operációs rendszerek: Windows 9x/Me/NT/2k/XP, Microsoft IIS
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 32.768 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba Anacon32.exe névn
– hozzáadja az ALM=[System elérési útvonala]/ANACON32.EXE és a SysAnacon32=[System elérési útvonala]/SysAna32.exe bejegyzéseket a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– hozzáadja a Services=[System elérési útvonala]/ANACON32.EXE bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices Registry kulcshoz
– a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run kulcshoz hozzáadja az Under20=[System elérési útvonala]/ANACON32.EXE bejegyzést
– a HKEY_CURRENT_USER/Software/Mirabilis/ICQ/Agent/Apps/Administrator Registry kulcsba a következő értékeket viszi fel:
Startup=[System elérési útvonala]
Enable=Yes
Parameters=˝˝
Path=[System elérési útvonala]//SYSPOLY32.EXE
– megkísérli leállítani a rendszeren futó behatolásvédelmi program(ok) process-e(i)t
– leállítja a Norton AntiVirus Auto-Protectjét
– eltávolítja a Trojan Defense Suite-ot
– letörli az összes állományt a C:/SAFEWEB könyvtárból
– MAPI használatával e-mailen továbbítja magát az összes, Windows Address Bookban található kontakt számára
– ha a Microsoft IIS fel van telepítve a rendszerre, a féreg létrehozza az Anadf.txt.bat állományt, amely a következő felirattal írja felül az alábbi állományokat:
WARNING! YOUR WEB SERVER HAS BEEN HACKED BY ANACON MELHACKER.
Anacon G0t ya! By Melhacker -dA r34L #4(k3R!
. a file-ok:
default.asp
index.htm
default.htm
index.html
default.html
index.asp
– letörli az összes .log állományt a C és a D meghajtó gyökeréből
– letölt egy előre meghatározott URL-ről egy állományt
– a féreg ezeken felül trójai képességekkel is rendelkezik (képes állományok letöltésére is)
– amennyiben a rendszerdátum bármelyik hónap következő napja, a féreg további műveleteket hajthat végre: 1, 4, 8, 12, 16, 20, 24, 28
– létrehozza a következő Registry kulcsokat és a legutolsó bejegyzést, melynek révén megosztja a C meghajtó gyökerét:
. HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/Shares/Security
. HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/lanmanserver/Shares/Security
. HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Services/lanmanserver/Shares/Security
. HACKERz=43,00,53,00,43,00,46,00,6c,00,61,00,67,00,73,00,3d,00,30,00,00,00,4d,00,61,00,78,00,55,00,73,00,65,00,73,00,3d,00,34,00,32,00,39,00,34,00,39,00,36,00,37,00,32,00,39,00,35,00,00,00,50,00,61,00,74,00,68,00,3d,00,43,00,3a,00,5c,00,00,00,50,00,65,00,72,00,6d,00,69,00,73,00,73,00,69,00,6f,00,6e,00,73,00,3d,00,30,00,00,00,52,00,65,00,6d,00,61,00,72,00,6b,00,3d,00,00,00,54,00,79,00,70,00,65,00,3d,00,30,00,00,00,00,00
– az összes, fent említett Registry kulcsot a COSN.REG nevű ideiglenes állomány révén állítja elő, mégpedig a következő paranccsal: regedit /s COSN.REG; ennek a műveletnek a végrehajtása után ez az állomány megsemmisítődik
– DoS támadást indít a következő IP-címek ellen:
. 212.150.63.115
. 212.143.236.4
. 62.154.244.36
. 209.61.182.140
. 198.65.148.153
. 208.40.175.222
. 161.58.232.244
. 161.58.197.155
. 194.90.114.5
. 147.237.72.91
– létrehozza önmaga másolatait a rendszerre esetlegesen telepített peer to peer file-cserélők megosztott könyvtáraiba; a lista:
/KMD/My Shared Folder/
/Kazaa/My Shared Folder/
/limewire/Shared/
/KaZaA Lite/My Shared Folder/
/Morpheus/My Shared Folder/
/Grokster/My Grokster/
/BearShare/Shared/
/Edonkey2000/Incoming/
– letörli az összes állományt a gyökérkönyvtárból
– leformattálja a D meghajtót



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek