Connect with us

technokrata

File-cserélőkön és üzenőprogramok révén szaporodó féreg

Dotkom

File-cserélőkön és üzenőprogramok révén szaporodó féreg

A Delphiben írt Mapson C változata a rendszer védelmének megbénítása után igyekszik gyorsan elterjedni ismerőseink, barátaink között.

A fertőzött e-mail tulajdonságai

Számos, előre elkészített sablonból válogat; néhány példa:

Feladó: antivirus@nod32.com
Tárgy: Alerta por Virus W32/Mapson
Tartalom:
En los últimos días se ha ido detectando un nuevo virus llamado Mapson, ya se han detectado varios infectados de este gusano, si usted se encuentra infectado podrá remover este gusano con esta herramienta gratuita que le hemos enviado, una vacuna que hemos diseñado especialmente para usuarios de hotmail, si usted esta de acuerdo haga clic en el adjunto para empezar el scaneo y eliminar este despreciable gusano de su maquina. Gracias.
Csatolmány: NSPCLEAN.exe

Tárgy: Re:Reenviamelo de nuevo
Tartalom: Si te gusto reenviamelo.
Csatolmány: bromas.scr

Tárgy: Re:Quitan cuentas de hotmail.
Tartalom:
Al parecer hotmail ya esta muy saturado de usuarios y amenazan con quitar cuentas, pero se puede evitar siguiendo unos pasos, léelos y no tendrás problemas, chau
Csatolmány: pasos.pif

Tárgy: Problema de seguridad en Internet Explorer
Tartalom:
Un problema de seguridad a sido detectado en Internet Explorer se recomienda aplicar los correspondientes parches ya que esta vulnerabilidad puede permitir la ejecución arbitraria de código en la maquina afectada, para saber mas acerca de esta vulnerabilidad favor de leer el documento y así prevenir el ataque de un virus informativo
Csatolmány: IEXPLORERSTACK.pif

Tárgy: Re: LTelo y reenvfalo a quienes mas amas.
Tartalom:
Si el documento expone lo que sientes hacia otra persona, reenvíalo a tus amigos y un sueño se hará realidad.
Csatolmány: amor_real.pif

Tárgy: Si no te late….
Tartalom:Si no te late, devuTlvemelo
Csatolmány: fotokosmiko.scr

Tárgy: Lista de Hoaxes
Tartalom:
Te envío una lista de hoaxes, virus falsos, para que estés prevenido y no hagas caso a las mentiras, chau cuídate
Csatolmány: hoax-list.com

Tárgy: Para mis amigos
Tartalom:Los mejores chistes que tengo, disfrutenlos
Csatolmány: OsamaBinLadenJokes.scr

A féreg paraméterei

Felfedezésének ideje: 2003. július 1.
Védekezés elkészültének ideje: 2003. július 2.
Veszélyeztetett operációs rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux, OS/2
Mérete: 180.224 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba a következő neveken:
. analysis_mzn6.pif
. animation-simpsons.scr
. Cards_love.pif
. counsels.pif
. documents.scr
. friends.pif
. hoax-list.com
. IEXPLORER_STACK.pif
. Ivalue-much.pif
. jokess.scr
. Lorena.exe
. love-forever.pif
. my_best_friend.pif
. NSPCLEAN.exe
. OsamaBinLadenJokes.scr
. Photookosmike.scr
. reality_dreams.pif
. real_love.scr
. sexual_steps.pif
. steps.pif
– felmásolja magát a C meghajtó gyökérkönyvtárába Mark.vxd névvel
– hozzáadja a LOAD32=[System elérési útvonala]/Lorena.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– leállítja a rendszerre telepített behatolásvédelmi szoftverek futó processeit
– az alábbi könyvtárak bármelyikét is találja meg a rendszerben, felmásolja oda magát különböző, figyelemfelkeltő neveken:
. C:/Program Files/KaZaA/My shared Folder
. C:/Program Files/KaZaA Lite/my shared folders
. C:/Program Files//edonkey2000/incoming
. C:/Program Files/Gnucleus/downloads
. C:/Program Files/ICQ/shared files
. C:/Program Files/Limewire/shared
. C:/Program Files/Morpheus/my shared folder
. C:/Program Files/Grokster/My Grokster
– ha a rendszerben talál MSN Messengert, annak kontaktlistájából kiszedi az e-mailcímeket és a fent ismertetett karakterisztikában továbbítja magát e-mailen keresztül
– amennyiben az éppen aktuális rendszerdátum negyedikére esik, a féreg létrehozza a C meghajtó gyökerében a lorraine.c.hta állományt és letölt egy HTML file-t a http://www.gratisweb.com címről
– ha az aktuális rendszerdátum október, a féreg a következő üzeneteket jeleníti meg:
Fejléc: W32/Lorraine.c [GEDZAC LABS 2003]
Üzenet: Bi0C0ded by Falckon/GEDZA
és
Fejléc: W32/Lorraine.c [GEDZAC LABS 2003]
Üzenet: Lorraine ReC0deD and Reloaded 😛



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek