Connect with us

technokrata

Féregvírus, ami a World Trade Centerre emlékeztet

Dotkom

Féregvírus, ami a World Trade Centerre emlékeztet

A Vote féreg K változata a két éve szeptember 11-én történtekre hívja fel a figyelmet, miközben a rendszerben található fontos állományokat tönkreteszi.

A fertőzött e-mail tulajdonságai

Tárgy: THE WAR HAS STARTED !
Csatolmány: WTC32.scr
Tartalom: [címzett neve], THE WAR IS NOT A JOKE !… THERE IS ONE BUILDING UP RIGHT NOW
Let´s Unite In This Horrible Kaos. … Fight For Us….!!!
…And Let Us Remember Those Lost Souls ! WE COUNT ON YOU !
Greetings,
World War Veterans.

A féreg paraméterei

Felfedezésének ideje: 2003. szeptember 5.
Utolsó frissítés ideje: 2003. szeptember 8.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/Server 2003
Nem érintett rendszerek: Windows 3.x, Macintosh, UNIX, Linux
Mérete: 102.400 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– megjelenít egy üzenetet, melyben a World Trade Center pusztulására figyelmeztet
– megjelenít egy másik üzenetet, amit az alkotója által előre elkészített listából választ
– megkísérli felmásolni magát a következő helyekre, az alábbi nekeven:
. C:/Windows/notepad.exe
. C:/Windows/WTC32.scr
. C:/Autorun.com
. C:/NT-Help.com
. C:/Op_Me.co_
. C:/Documents and Settings/All Users/Desktop/Welcome.scr
– létrehozza a következő állományokat
. C:/Microsoft NT Help.html (149 byte)
. C:/Autostart.bat (2.146 byte)
. C:/Autorun.bat (2.146 byte)
. C:/WTC.txt, ami a következő szöveget tartalmazza: ˝You Are A Victim Of The WTC Worm !˝
. C:/WTC32.dll, ami a következő szöveget tartalmazza: ˝Users In Harmony With God !˝
– létrehozza a C meghajtó gyökerében a suPs állományt, majd yyybp.bat néven bemásolja ide az Autostart.bat file-t; emellett hozzáad egy Recycle Bint ezen mappa alá
– felülírja az összes COM, EXE és SCR állományokat magával az összes meghajtó könyvtáraiban, kivéve a gyökereket
– felülírja az összes .bmp, .jpg, .mp3, .mpg, .rar, .wav és .zip file-t magával az összes meghajtó könyvtáraiban, kivéve a gyökereket; minden file-hoz hozzáad egy .exe kiterjesztést
– felülírja a .htm, .html és .htt file-okat a C:/Microsoft NT Help.html állománnyal
– felülírja a .ai, .doc, .pif, .psd, .rtf és .txt file-okat a C:/Microsoft NT Help.html állománnyal és kiegészíti őket egy második (.htm) kiterjesztéssel
– felülírja az összes BAT állományt az Autostart.bat-tal
– bemásolja az Autostart.bat file-t a következő helyekre:
. C:/Windows/Start Menu/Programs/StartUp/cniad.bat
. C:/Documents and Settings/All Users/Start Menu/Programs/Start up/NTFS.bat
– felülírja a Win.ini-t
– felülírja a System.ini-t a következő szöveggel:
[boot]
shell=explorer.exe C:/Windows/pbbgt.bat
– megkísérli letörölni a következő állományokat:
. C:/Windows/System32/*.dll
. C:/Windows/System32/*.ocx
. C:/Windows/*.sys
. C:/*.*
– hozzáadja a W32Tc=C:/Windows/WTC32.scr bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– módosítja a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows .NT/CurrentVersion Registry kulcs következő értékeit:
. ˝RegisteredOwner˝=˝YOU ARE A VICTIM OF THE˝
. ˝RegisteredOrganization˝=˝WORLD TRADE CENTER˝
. ˝ProductName˝=˝w32.hllw.I-Worm.WTC.03˝
– Start Page=c:/Windows/WTC32.scr-re módosítja a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Internet Explorer/Main Registry kulcs bejegyzését
– hozzáadja a WtcSnd=1 bejegyzést a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion Registry kulcshoz
– létrehozza a C:/Windows/Systm32 könyvtárat, és ide bemásolja magát a következő neveken:
. 18_Britney_Sucking_Sex_
. Teen_P**sy_Hardcore_Sex_
. XXX_Christina_Celebrities_Pamela_Sex_Screensaver_
. XXX_Teens_Hot_Gauge_Aria_Jennifer_Sex_Screensaver_
. F**king_Hot_Horny_Screensaver_|
. Orgy_Incest_Illegal_Sex_
– a fentiek a következő kiterjesztések valamelyikét kapják: .jpg.scr, .mpg.scr, .avi.scr
– létrehozza a Pict232.reg állományt, majd ezt felhasználja, hogy a HKEY_CURRENT_USER/Software/Kazaa/LocalContent kulcshoz a következő bejegyzéseket rögzíthesse:
. ˝DisableSharing˝=˝0˝
. ˝DownloadDir˝=˝C:/Program Files/KaZaA/My Shared Folder˝
. ˝Dir0˝=˝012345:C:/Windows/Systm32˝
. ˝Dir1˝=˝012345:C:/˝
– Outlook révén továbbítja magát minden, a kliens Address Bookjában található kontakt számára
– létrehozza a C:/Program Files/mIRC/Script.ini-t, ezzel IRC-n keresztül szaporodhat



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek