Connect with us

technokrata

Accountok feltörését ígérő féregvírus

Dotkom

Accountok feltörését ígérő féregvírus

Linux keyloggernek, játékok töréseinek álcázza magát a Xolox féreg.

A fertőzött e-mail jellemzői

Tárgy: Where are you?
Tartalom: Hi!
Where are you?,
I enjoy speaking with you 🙂
Simdi icinden buda kim diyorsundur 🙂
Csatolmány: változó

A féreg paraméterei

Felfedezésének ideje: 2003. június 4.
Védekezés elkészültének ideje: 2003. június 4.
Veszélyeztetett operációs rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett operációs rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 25.088 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja magát a Windows könyvtárba Systemcheck.exe néven
– hozzáadja a SystemCheck=[Windows elérési útvonala]/Systemcheck.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– a Kazaa-n keresztül terjed, ezért felmásolja magát a C:/KaZaA/My Shared Folder vagy a C:/Program Files/KaZaA/My Shared Folder könyvtárak valamelyikébe (ha az megtalálható a rendszeren); néhány példa a file-nevekre:
. DivX.exe
. password.exe
. DDoS Scan.exe
. Linux Hack Attack.exe
. Hack Lesson.exe
. Linux Keylogger.exe
. Counter Strike Trainer.exe
. Half Life Trainer.exe
. All Games Hack.exe
– az Outlook Address Bookjában található összes kontakt számára elküldi magát a fent ismertetett karakterisztikában
– annak érdekében, hogy Windows 9x/Me alatt minden rendszerindításkor maga a féreg is betöltődjön, módosítja a C:/Windows/Win.ini állományt, hozzáadva a következő sort:
run= c:/Windows/Systemcheck.exe
– a C meghajtó gyökerébe felmásolja a Festival.vbs állományt, mely a Mirc script.ini állományát változtatja meg oly módon, hogy az a férget továbbterjessze IRC-n át



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek