Connect with us

Hirdetés

technokrata

A rendszert alaposan átszabja a Vivael féregvírus

Dotkom

A rendszert alaposan átszabja a Vivael féregvírus

Sok módosítást végez a rendszerleíró adatbázisban, a file-rendszerben és a konfigurációs állományokban a Vivael névre keresztelt féreg.

A fertőzött e-mail tulajdonságai

Tárgy: El adelanto de matrix ta gueno
Tartalom: Oye te ? paso el programa para entrar a cuentas del messenger
Z y facilingo te lo paso a voz nomas, prometeme que no se lo pasas a nadie, ya?
u Respondeme que tal te parecio. chau
Csatolmány: hotmailpass.exe

A féreg paraméterei

Felfedezésének ideje: 2003. június 28.
Védekezés elkészültének ideje: 2003. június 28.
Veszélyeztetett operációs rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux, OS/2
Mérete: 188.928 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja magát a rendszerbe az alábbi nekeven:
. C:/windows/All Users.exe
. C:/windows/command.exe
. C:/windows/Hot Girl.scr
. C:/windows/hotmailpass.exe
. C:/windows/Inf.exe
. C:/windows/Internet File.exe
. C:/windows/Internet download .exe
. C:/windows/Part Hard Disk.exe
. C:/windows/Shell.exe
. C:/windows/system.exe
. C:/windows/System32.exe
. C:/windows/System64.pif
. C:/windows/Temp.exe
. C:/windows/system32/command.com
. C:/windows/system32/Inf.exe
. C:/windows/system32/net.com
. C:/windows/system32/www.microsoft.com
. C:/windows/All User/Server.exe
. C:/windows/menu inicio/programas/inicio/www.microsoft.com
. C:/Recycled/Evo Morales.scr
– hozzáadja a System=c:/windows/system.exe bejegyzést a következő Registry kulcsokhoz:
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
– a System=c:/windows/commands.com bejegyzést az alábbi kulcsokba viszi fel:
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices
– hozzáadja a System=c:/windows/temp.exe bejegyzést a lenti két Registry kulcshoz:
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce
– létrehozza a következő Registry kulcsokat:
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run/1/2/3/4
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run/1/2/3/4
– a fenti kettő helyre felviszi a System=c:/windows/system.exe bejegyzést
– hozzáadja a NeverShowExt=˝˝ bejegyzést a KEY_LOCAL_MACHINE/Software/Classes/exefile Registry kulcshoz
– megváltoztatja a KEY_LOCAL_MACHINE/Software/Classes/exefile/shell/open/command kulcs alapértelmezett értékét a következőre: @=c:/windows/command.exe,˝%1˝%*
– megváltoztatja a KEY_LOCAL_MACHINE/Software/Classes/comfile/shell/open/command kulcs alapértelmezett értékét a következőre: @=c:/windows/inf.exe,˝%1˝%*
– a KEY_LOCAL_MACHINE/Software/Classes/batfile/shell/open/command Registry kulcs default értékét is átírja, mégpedig a következőképp: @=c:/windows/temp.exe,˝%1˝%*
– hasonlóan jár el a KEY_LOCAL_MACHINE/Software/Classes/piffile/shell/open/command kulcs esetében is, itt a @=c:/windows/commands.com˝,˝%1˝%* bejegyzés kerül rögzítésre
– a KEY_LOCAL_MACHINE/Software/Classes/htafile/shell/open/command Registry kulcs default értékét szintén átírja: @=c:/windows/commands.com,˝%1˝%*
– a következő sorokkal módosítja a Win.ini állományt:
[windows]
load=archivo.exe
run=archivo.exe
####Viva el EVO, y jamas erradicaran la Coca Cola!!! mentira colla maldito!! (PYN Pablo_Hack@hotmail.com)####
– módosítja a System.ini-t is, az alábbi sorral:
[boot]
Shell=explorer.exe temp.exe
– felülírja a Windows könyvtárban található wininit.ini állományt a null=c:/windows/system.exe sorral
– létrehozhat ugyanitt egy winstart.bat nevű állományt, mely egyetlen sorból áll:
c:/windows/Shell.exe
– elindítja a böngészőt annak érdekében, hogy előre meghatározott helyekről file-okat nyisson meg; az URL-ek:
. http://jeremybigwood.net
. http://news.bbc.co.uk
. http://www.commondreams.org
. http://www-ni.laprensa.com.ni
. http://www.soc.uu.se
. http://www.cannabisculture.com
. http://www.chilevive.cl
. http://membres.lycos.fr
. http://www.movimientos.org
(a vírusinformáció készítésekor ezen helyekről fertőzésmentes JPEG állományokat nyitott meg a féreg)
– megkeresi az MSN üzenőprogram kontaktlistáját, és kigyűjti belőlük az e-mailcímeket
– elküldi magát az összes e-mailcímre, amit talál



Szólj hozzá!

További Dotkom

Hirdetés

Népszerű

Hirdetés

Technokrata a Facebookon

Hirdetés

IoT-Magazin.hu

Hirdetés

Kütyük

Smart home

Így képzelik el a magyarok az álomotthonukat

2024. március 20. szerda

Office

Foglalj helyet, hogy helyet foglalhass!

2024. március 13. szerda

Smart home

Okoskészülék vagy hagyományos háztartási gép?

2024. február 28. szerda
owlet care babafigyelő

Smart home

OWLET CARE a magyarországi piacon!

2024. február 26. hétfő
Hirdetés

Dotkom

Műszaki-Magazin.hu

Hirdetés