Connect with us

technokrata

Az admintól érkező levél fertőzött is lehet!

Dotkom

Az admintól érkező levél fertőzött is lehet!

A Sobig féreg D variánsa igen álnok módon az admin@support.com címről érkező levélnek álcázza magát, így nagyobb az esélye, hogy megnyissuk. De ne tegyük!

A fertőzött e-mail tulajdonságai

Feladó: admin@support.com (spoofolt e-mailcím)
Tárgy: egy a következőkből:
. Re: Documents
. Re: App. 00347545-002
. Re: Movies
. Application Ref: 456003
. Re: Your Application (Ref: 003844)
. Re: Screensaver
. Re: Accepted
. Your Application
Tartalom: See the attached file for details
Csatolmány: a következők egyike:
. Document.pif
. app003475.pif
. movies.pif
. ref_456.pif
. Application844.pif
. Screensaver.scr
. Accepted.pif
. Applications.pif
. Application.pif

A féreg paraméterei

Felfedezésének ideje: 2003. június 18.
Védekezés elkészültének ideje: 2003. június 18.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux, OS/2
Mérete: 57.856 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja magát a Windows könyvtárba Cftrb32.exe néven
– ugyanitt létrehozza a következő állományokat, melyek belső konfigurációs adatokat tartalmaznak: dftrn32.dat, rssp32.dat
– hozzáadja az SFtrb Service=[Windows elérési útvonala]/cftrb32.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– amennyiben a megfertőzött operációs rendszer Windows NT/2000/XP, hozzáadja a fenti bejegyzést a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz is
– felméri a hálózati erőforrásokat és felmásolja magát a következő helyekre:
. Windows/All Users/Start Menu/Programs/StartUp
. Documents and Settings/All Users/Start Menu/Programs/Startup
(a hálózaton megosztott PC-k fenti helyeire is felmásolja magát)
– megkísérel letölteni adatokat egy előre meghatározott weboldalról



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek