Connect with us

technokrata

Rendszergazdától érkezik a féreg

Dotkom

Rendszergazdától érkezik a féreg

A Mimail féreg a rendszergazdától érkezik – legalábbis ekként próbálja meg álcázni magát a kártevő a gyanútlan felhasználó előtt.

A fertőzött e-mail jellemzői

Feladó: admin@[jelenlegi domain] (ez természetesen meg van hamisítva)
Tárgy: your account %s
Tartalom: Hello there,
I would like to inform you about important information regarding your email address. This email address will be expiring. Please read attachment for details.

Best regards,
Administrator
Csatolmány: Message.zip

A féreg paraméterei

Felfedezésének ideje: 2003. augusztus 1.
Védekezés elkészültének ideje: 2003. augusztus 4.
Veszélyeztetett operációs rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett operációs rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: körülbelül 16 kbyte
Fertőzések száma: 50-999
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a Windows könyvtárba Videodrv.exe néven
– hozzáadja a VideoDriver=[Windows elérési útvonala]/videodrv.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– a következő kiterjesztéssel bíró állományokban kutat e-mail címekért: .bmp, .jpg, .gif, .exe, .dll, .avi, .mpg, .mp3, .vxd, .ocx, .psd, .tif, .zip, .rar, .pdf, .cab, .wav, .com
– az összes így megszerzett címet a Windows könyvtárba (eml.tmp) írja be
– speciális Windows ablakokról szöveget lop, majd ezeket az adatokat a féregben lekódolt e-mail címekre továbbítja
– saját SMTP motorja révén továbbítja magát
– a csatolmány (Message.zip) csak egy file-t tartalmaz, a Message.htm-et, ami a Foo.exe nevű féreg kihasználására használatos kódot rejti magában
– amikor a HTML állomány futtatásra kerül, a következő Registry kulcsot hozza létre: HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Code Store Database/Distribution Units/{11111111-1111-1111-1111-111111111111}
– további két file-t is létrehoz a Windows könyvtárban:
Zip.tmp: a message.zip ideiglenes másolata (30.079 byte)
Exe.tmp: a message.html ideiglenes másolata (29.957 byte)



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek