Connect with us

technokrata

Rendszerállományokat tönkretevő féregvírus

Dotkom

Rendszerállományokat tönkretevő féregvírus

A Microsoft, a Symantec és a McAfee website-ja ellen indít DoS-támadást a Syney nevű féreg, mely ráadásul még a rendszerfile-okat is tönkreteszi.

A féreg paraméterei

Felfedezésének ideje: 2003. szeptember 9.
Utolsó frissítés ideje: 2003. szeptember 10.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/Server 2003
Nem érintett rendszerek: Windows 3.x, Macintosh, UNIX, Linux
Mérete: nem ismert
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja magát a következő helyekre, az alábbi neveken:
• C:/Virus.exe
• C:/Attach.exe
• C:/Worm.exe
• C:/Windows/Worm.exe
• C:/Windows/System/WinSys.dll
• C:/DosBoot.exe
• C:/Windows/NortonAntiVirus.exe
• C:/Windows/Desktop/Norton AntiVirus 2003.exe
• C:/Windows/System32/WinSys.dll
• C:/Windows/Start Menu/Programs/Startup/NortonAntiVirus.exe
• C:/Documents and Settings/All Users/Start Menu/Programs/Startup/Backup.exe
– hozzáadja a SYDNEY=[az eredeti file-ra mutató bejegyzés] értéket a HKEY_LOCAL_MACHINE/SOFTWARE/microsoft/windows/currentversion/runservices Registry kulcshoz
– letörli a file-okat a következő helyekről:
• C:/Windows/Desktop/*.Ink
• C:/Windows/FONTS/*.ttf
• C:/Windows/SYSBCKUP/*.dat
• C:/Windows/SYSBCKUP/*.dll
• C:/Windows/ *.pwl
• C://Windows/Regedit.exe
• C:/Program Files/Common Files/Symantec Shared/*.exe
• C:/Program Files/Norton AntiVirus/*.exe
• C:/Program Files/Norton AntiVirus/*.ini
• C:/Program Files/Norton AntiVirus/*.Vxd
• C:/Program Files/Norton AntiVirus/*.Dat
– létrehozza a C:/Windows/Desktop/Read Me.txt állományt, mely az alábbi szöveget tartalmazza:
Dear User,
You have problably Noticed you Windows Start-Up and Shutdown screens where modifyed
This is because you Machine is Infected with the w32.Sydney Worm.
Download a Virus Removal tool from www.Norton.com
I love You!
– létrehozza a C:/Batch.Bat file-t, amit DoS-támadást indít október 7-én a következő website-ok ellen: www.micrsoft.com, www.norton.com, www.mcafee.com
– létrehozza a C:/Time.Bat állományt, ami a rendszerórát 10:00-ra állítja, megosztja a C meghajtót Sydney néven, illetve létrehozza a Windows könyvtárban a Squeaky.txt file-t, ami a The Sydney worm has been here szöveget tartalmazza
– szintén a féreg munkájának eredménye a C:/NAVKILL.Bat állomány is, ami megkísérli letörölni a C:/Program Files/Common Files/Symantec Shared/CCAP.EXE file-t
– létrehozza a C:/DosBoot/Autoexec.bat file-t, ami futtatja a C:/Virus.Exe-t
– módosítja az Autoexec.bat állományt úgy, hogy minden Windows induláskor futtassa a C:/Virus.Exe-t és megpróbálja letörölni a C:/Program Files/Common Files/Symantec Shared/CCAP.EXE file-t
– amennyiben a rendszerdátum 2003 június 25-e, a féreg letörli a C meghajtó gyökerében levő összes .com állományt, illetve a System könyvtár tartalmát, valamint a Windows könyvtárban a következő kiterjesztésű file-okat: .dll, .exe, .pwl, .pas, .sys, .bmp, .pif és .ink
– felülírja a következő állományokat:
• C:/WINDOWS/CURSORS/Arrow_m.cur
• C:/Windows/Logow.Sys
– Outlook révén e-mailen keresztül továbbítja magát
– az alábbi neveken is felmásolhatja magát a rendszerre:
• C:/aVirus.exe
• C:/Aattach.exe
• C:/Viarus.exe
• C:/Attaach.exe
• C:/Viruas.exe
• C:/Attacah.exe
• C:/wVirus.exe
• C:/Awttach.exe
• C:/Viwrus.exe
• C:/Veirus.exe
• C:/Attwach.exe
• C:/Viruws.exe
• C:/Attacwh.exe
• C:/eVirus.exe
• C:/Aettach.exe
• C:/Vierus.exe
• C:/Atteach.exe
• C:/Virues.exe
• C:/Attaceh.exe
• C:/wAttach.exe
• C:/Vdirus.exe
• C:/Atftach.exe
• C:/Virfus.exe
• C:/Attafch.exe
• C:/Virusf.exe
• C:/Aqttach.exe
• C:/qVirus.exe
• C:/Atqtach.exe
• C:/Virqus.exe
• C:/Attaqch.exe
• C:/zVirusq.exe
• C:/Azttach.exe
• C:/Vizrus.exe
• C:/Attzach.exe
• C:/Viruzs.exe
• C:/Attaczh.exe
• C:/Atetach.exe
• C:/Vireus.exe
• C:/Attaech.exe
• C:/Viruse.exe
• C:/rAttach.exe
• C:/Vrirus.exe
• C:/Atrtach.exe
• C:/Virrus.exe
• C:/Attarch.exe
• C:/Virusr.exe
• C:/yAttach.exe
• C:/Vyirus.exe
• C:/Atytach.exe
• C:/Viryus.exe
• C:/Attaych.exe
• C:/Virusy.exe
• C:/Attachy.exe
• C:/Attahch.exe
• C:/Virush.exe
• C:/hAttach.exe
• C:/Vhirus.exe
• C:/Athtach.exe
• C:/Virhhus.exe
• C:/Attachh.exe
• C:/rVirus.exe
• C:/Arttach.exe
• C:/Attrrach.exe
• C:/tAttach.exe
• C:/Vtirus.exe
• C:/Attttach.exe
• C:/Attatch.exe
• C:/Virust.exe
• C:/Atttacht.exe
• C:/Viruts.exe
• C:/Vttirus.exe
• C:/Attacht.exe
• C:/Virust.etxe
• C:/Virus.texe
• C:/Attacth.exe
• C:/Virust.texe
• C:/Virus.etxe
• C:/Attach.etxe
• C:/Virus.exet
• C:/Windows/rAttach.exe
• C:/Windows/Vrirus.exe
• C:/Windows/Atrtach.exe
• C:/Windows/Virrus.exe
• C:/Windows/Attarch.exe
• C:/Windows/Virusr.exe
• C:/Windows/yAttach.exe
• C:/Windows/Vyirus.exe
• C:/Windows/Atytach.exe
• C:/Windows/Viryus.exe
• C:/Windows/Attaych.exe
• C:/Windows/Virus.exe
• C:/Windows/Virusy.exe
• C:/Windows/Attachy.exe
• C:/Windows/Attahch.exe
• C:/Windows/Virush.exe
• C:/Windows/hAttach.exe
• C:/Windows/Vhirus.exe
• C:/Windows/Athtach.exe
• C:/Windows/Virhhus.exe
• C:/Windows/Attachh.exe
• C:/Windows/rVirus.exe
• C:/Windows/Arttach.exe
• C:/Windows/Attrrach.exe
• C:/Windows/Attach.exe
• C:/Windows/tAttach.exe
• C:/Windows/Vtirus.exe
• C:/Windows/Attttach.exe
• C:/Windows/Attatch.exe
• C:/Windows/Virust.exe
• C:/Windows/Atttacht.exe
• C:/Windows/Viruts.exe
• C:/Windows/Vttirus.exe
• C:/Windows/Attacht.exe
• C:/Windows/Virust.etxe
• C:/Windows/Virus.texe
• C:/Windows/Attacth.exe
• C:/Windows/Virust.texe
• C:/Windows/Virus.etxe
• C:/Windows/Attach.etxe
• C:/Windows/Virus.exet



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek