Connect with us

Hirdetés

technokrata

Trójai képességekkel is rendelkező féregvírus

Dotkom

Trójai képességekkel is rendelkező féregvírus

A BenfGame az ICQ-felhasználók jelszavaira utazik, emellett igyekszik magát alaposan befészkelni a rendszerbe.

A féreg paraméterei

Felfedezésének ideje: 2003. június 2.
Védekezés elkészültének ideje: 2003. június 3.
Veszélyeztetett operációs rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett operációs rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: változó
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

A kártevő trójai komponense akkor aktivizálódik, ha az ICQ kínai változatát megtalálja a rendszeren. Ebben az esetben az Msread.dt állományban tárolja a rendszerből megszerzett jelszavakat, mely file-t aztán elküldi alkotójának.

A trójai résztől függetlenül működik a BenfGame féreg modulja:

– hálózati megosztásokat hoz létre
– felmásolja magát a hálózaton található megosztott könytárakba, véletlenszerűen létrehozott neveken
– létrehozza a meghajtó gyökerében a Filedebug file-t, amely tartalmazza a féreg által korábban kreált állományneveket
– a korábban létrehozott állományok közül néhányat (véletlenszerűen választ) processként regisztrál
– az alábbi Registry módosításokat végzi el:
. HKEY_CLASSES_ROOT/txtfile/shell/open/command – felülírja a notepad.exe-re mutató bejegyzést a féreg egyik állományára mutató bejegyzéssel
. HKEY_CLASSES_ROOT/chm.file/shell/open/command – felülírja a hh.exe-re mutató bejegyzést a féreg egyik állományára mutató bejegyzéssel
. HKEY_CLASSES_ROOT/scrfile/shell/open/command – megváltoztatja a kulcs értékét a féreg egyik állományára mutató bejegyzéssel: [file-név] %1
. HKEY_CLASSES_ROOT/regfile/shell/open/command – felülírja a regedit.exe-re mutató bejegyzést a féreg egyik állományára mutató bejegyzéssel
. HKEY_CLASSES_ROOT/inifile/shell/open/command – felülírja a kulcsban található összes bejegyzést a féreg egyik állományára mutató bejegyzéssel
. HKEY_CLASSES_ROOT/exefile/shell/open/command – megváltoztatja a kulcs értékét a féreg egyik állományára mutató bejegyzéssel: [file-név] %1
– egy véletlenszerűen választott nevű értéket hozzáad a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz, mely a féregre mutat
– hozzáadja a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/win70/workfile kulcsot a Registry-hez egy véletlenszerűen előállított értékkel
– megkísérli leállítani a következő NT processeket:
. kav9x.exe
. kavsvc9x.exe
. kavsvcui.exe
. kav32.exe
. smenu.exe
. ravmon.exe
. passwordguard.exe
. vpc32.exe
. watcher.exe
– létrehozza az Autorun.inf állományt az összes meghajtó gyökerében, kivéve a C-t
– a fenti állomány a következő tartalommal rendelkezik:
[autorun]
OPEN= [a féreg által véletlenszerűen létrehozott file-név]



Szólj hozzá!

További Dotkom

Hirdetés

Népszerű

Hirdetés

Technokrata a Facebookon

Hirdetés

IoT-Magazin.hu

Hirdetés

Kütyük

Smart home

Így képzelik el a magyarok az álomotthonukat

2024. március 20. szerda

Office

Foglalj helyet, hogy helyet foglalhass!

2024. március 13. szerda

Smart home

Okoskészülék vagy hagyományos háztartási gép?

2024. február 28. szerda
owlet care babafigyelő

Smart home

OWLET CARE a magyarországi piacon!

2024. február 26. hétfő
Hirdetés

Dotkom

Műszaki-Magazin.hu

Hirdetés