Connect with us

technokrata

Ismét a Symantec-et használja egy féreg álcázásra

Dotkom

Ismét a Symantec-et használja egy féreg álcázásra

A leütött billentyűket figyelő férget könnyű megismerni: ha rendszerünkben megnyílik egy, a Symantec spanyol nyelvű weboldalára hasonlító weblap, gond van.

A fertőzött e-mail jellemzői

A következő négy sémából válogat:
Feladó: AVP-Team(AVP.Mailer@avp.com) (ez természetesen meg van hamisítva)
Tárgy: AVP-Virus-Warning
Tartalom: New virus in ˝The Wild˝ called ˝W32/Cow˝.Spreads through e-mail and IRC.A solution is this free program.Send this message to your friends.
Thank you, AVP Team
Csatolmány: változó

Feladó: piadeiros@risadinha.com.br
Tárgy: Piada do Paciente Galo
Tartalom: Um paciente chegou com o psiquiatra e disse: – Doutor, eu sou um galo…
Csatolmány: változó

Feladó: jonas.rc@yahoo.com.b
Tárgy: Ei, psiu…
Tartalom: Nada. Te peguei…Gosto muito de voc, viu ? Estou com saudades. De seu amigo, Jonas.
Csatolmány: változó

Feladó: notice@programese.kit.net
Tárgy: Bom dia !!!
Tartalom: Feliz Aniversrio !!!
Csatolmány: változó

A féreg paraméterei

Felfedezésének ideje: 2003. augusztus 6.
Védekezés elkészültének ideje: 2003. augusztus 7.
Veszélyeztetett operációs rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett operációs rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 324.608 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a Windows könyvtárban található Temp mappába taskmgr32#.exe (#=0-9) és taskmgr32.exe néven
– az smtp.ig.com.br SMTP szerverhez csatlakozik, és e-mailen továbbítja magát
– hozzáadja a ctfmon = C:/Windows/Temp/taskmgr32#.exe bejegyzést a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– hozzáadja HKEY_CURRENT_USER/Software/Microsoft/Windows Registry kulcshoz a következő bejegyzéseket:
pcount = 1
cftmon32 = Java Compiler
– felmásolja a Windows Temp könyvtárába a HookLib.dll állományt, ami tulajdonképpen maga a (billentyűzet-figyelő) W32.Sowsat.B@mm
– megnyit egy HTML állományt, mely hasonlít a Symantec (spanyol nyelvű) weboldalára



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek