Connect with us

technokrata

A rendszert alaposan átszabja a Vivael féregvírus

Dotkom

A rendszert alaposan átszabja a Vivael féregvírus

Sok módosítást végez a rendszerleíró adatbázisban, a file-rendszerben és a konfigurációs állományokban a Vivael névre keresztelt féreg.

A fertőzött e-mail tulajdonságai

Tárgy: El adelanto de matrix ta gueno
Tartalom: Oye te ? paso el programa para entrar a cuentas del messenger
Z y facilingo te lo paso a voz nomas, prometeme que no se lo pasas a nadie, ya?
u Respondeme que tal te parecio. chau
Csatolmány: hotmailpass.exe

A féreg paraméterei

Felfedezésének ideje: 2003. június 28.
Védekezés elkészültének ideje: 2003. június 28.
Veszélyeztetett operációs rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux, OS/2
Mérete: 188.928 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja magát a rendszerbe az alábbi nekeven:
. C:/windows/All Users.exe
. C:/windows/command.exe
. C:/windows/Hot Girl.scr
. C:/windows/hotmailpass.exe
. C:/windows/Inf.exe
. C:/windows/Internet File.exe
. C:/windows/Internet download .exe
. C:/windows/Part Hard Disk.exe
. C:/windows/Shell.exe
. C:/windows/system.exe
. C:/windows/System32.exe
. C:/windows/System64.pif
. C:/windows/Temp.exe
. C:/windows/system32/command.com
. C:/windows/system32/Inf.exe
. C:/windows/system32/net.com
. C:/windows/system32/www.microsoft.com
. C:/windows/All User/Server.exe
. C:/windows/menu inicio/programas/inicio/www.microsoft.com
. C:/Recycled/Evo Morales.scr
– hozzáadja a System=c:/windows/system.exe bejegyzést a következő Registry kulcsokhoz:
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
– a System=c:/windows/commands.com bejegyzést az alábbi kulcsokba viszi fel:
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices
– hozzáadja a System=c:/windows/temp.exe bejegyzést a lenti két Registry kulcshoz:
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce
– létrehozza a következő Registry kulcsokat:
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run/1/2/3/4
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run/1/2/3/4
– a fenti kettő helyre felviszi a System=c:/windows/system.exe bejegyzést
– hozzáadja a NeverShowExt=˝˝ bejegyzést a KEY_LOCAL_MACHINE/Software/Classes/exefile Registry kulcshoz
– megváltoztatja a KEY_LOCAL_MACHINE/Software/Classes/exefile/shell/open/command kulcs alapértelmezett értékét a következőre: @=c:/windows/command.exe,˝%1˝%*
– megváltoztatja a KEY_LOCAL_MACHINE/Software/Classes/comfile/shell/open/command kulcs alapértelmezett értékét a következőre: @=c:/windows/inf.exe,˝%1˝%*
– a KEY_LOCAL_MACHINE/Software/Classes/batfile/shell/open/command Registry kulcs default értékét is átírja, mégpedig a következőképp: @=c:/windows/temp.exe,˝%1˝%*
– hasonlóan jár el a KEY_LOCAL_MACHINE/Software/Classes/piffile/shell/open/command kulcs esetében is, itt a @=c:/windows/commands.com˝,˝%1˝%* bejegyzés kerül rögzítésre
– a KEY_LOCAL_MACHINE/Software/Classes/htafile/shell/open/command Registry kulcs default értékét szintén átírja: @=c:/windows/commands.com,˝%1˝%*
– a következő sorokkal módosítja a Win.ini állományt:
[windows]
load=archivo.exe
run=archivo.exe
####Viva el EVO, y jamas erradicaran la Coca Cola!!! mentira colla maldito!! (PYN Pablo_Hack@hotmail.com)####
– módosítja a System.ini-t is, az alábbi sorral:
[boot]
Shell=explorer.exe temp.exe
– felülírja a Windows könyvtárban található wininit.ini állományt a null=c:/windows/system.exe sorral
– létrehozhat ugyanitt egy winstart.bat nevű állományt, mely egyetlen sorból áll:
c:/windows/Shell.exe
– elindítja a böngészőt annak érdekében, hogy előre meghatározott helyekről file-okat nyisson meg; az URL-ek:
. http://jeremybigwood.net
. http://news.bbc.co.uk
. http://www.commondreams.org
. http://www-ni.laprensa.com.ni
. http://www.soc.uu.se
. http://www.cannabisculture.com
. http://www.chilevive.cl
. http://membres.lycos.fr
. http://www.movimientos.org
(a vírusinformáció készítésekor ezen helyekről fertőzésmentes JPEG állományokat nyitott meg a féreg)
– megkeresi az MSN üzenőprogram kontaktlistáját, és kigyűjti belőlük az e-mailcímeket
– elküldi magát az összes e-mailcímre, amit talál



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek