Connect with us

technokrata

Norton AntiVirus 2004-re frissítés – valójában veszélyes trójai program

Dotkom

Norton AntiVirus 2004-re frissítés – valójában veszélyes trójai program

Az IRCBot B változata a Sobig féreg F variánsa által kiváltott fenyegetést igyekszik a maga javára fordítani, amikor Norton AntiVirus frissítésének álcázza önmagát.

A fertőzött e-mail jellemzői

Feladó: updates@symantec.com [meghamisított e-mailcím]
Tárgy: Last Update.
Tartalom: October 06, 2003
Intruder Alert 4.1 W32_Webb_Worm Policy
This policy detects the propagation of the W32.SobigF.Worm though changes in the registry.

W32.Webb.F@mm is a mass-mailing, network-aware worm that sends itself to all the email addresses it finds in various files.
The worm uses its own SMTP engine to propagate and attempts to create a copy of itself on accessible network shares, but fails due to bugs in the code.

In attachment you can find program that update your Norton Antivirus to Norton Antivirus 2004.
Csatolmány: nav32.zip

A trójai program paraméterei

Felfedezésének ideje: 2003. október 7.
Utolsó frissítés ideje: 2003. október 7.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/Server 2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: körülbelül 19 Kbyte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: közepes
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba RPCX1sQ3.exe néven
– hozzáadja a windowsupdate = RPCX1sQ3.exe bejegyzést az alábbi Registry kulcsokhoz:
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
– megkísérel csatlakozni az itc.ourmoney.pp.ruz IRC_szerverhez a 31337-es TCP porton át
– amennyiben sikerül, egy véletlenszerűen választott névvel kapcsolódik egy előre meghatározott csatornához, majd parancs(ok)ra vár

A trójai kínálta lehetőségek

– telepítésének menedzselése
– az áldozat számítógépén található IRC-kliens feletti hatalom átvétele
– önmaga frissítése
– önmaga más IRC-csatornákra való elküldése
– file-ok letöltése és futtatása
– DoS-támadás(ok) indítása
– önmaga teljes eltávolítása
– futó process-ek leállítása
– website-ok megnyitása



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek