Connect with us

Hirdetés

technokrata

Windows javításnak álcázott féregvírus

Dotkom

Windows javításnak álcázott féregvírus

Meghamisított feladónévvel érkezik a Torvil féreg, mely magát a nyáron felfedezett súlyos RPC sérülékenység javításának igyekszik álcázni.

A fertőzött e-mail jellemzői

Tárgy: a következők egyike:
. congratulations!
. darling
. Do not release, its the internal rls!
. Documents
. Pr0n!
. Undeliverable mail–
. Returned mail–
. here¦s a nice Picture
. New Internal Rls…
. here¦s the document
. here¦s the document you requested
. here¦s the archive you requested
Csatolmány:
. yourwin.bat
. probsolv.doc.pif
. flt-xb5.rar.pif
. document.doc.pif
. sexinthecity.scr
. torvil.pif
. win$hitrulez.pif
. sexy.jpg
. flt-ixb23.zip
. readit.doc.pif
. document1.doc.pif
. attachment.zip
. message.zip
. Q723523_W9X_WXP_x86_EN.exe

Tartalom: az alábbiak egyikével indít:
. Hi,
. Hello,
. Re:
. Fw:
ezt követi az aktuális felhasználó neve, majd a következő mondatok valamelyike:
. See the attached file for details.
. I have a document attached,
. which should solve your problems.
. The release file is attached…
. Send me your comments.
. Real outtakes from Sex in the City!!
. Adult content!!! Use with parental advisory =)
. Have a look the Pic attached !!
. dOnT gIvE iT aWaY…
. iTs cOnFiDeNtIaL =)
. here¦s the document that you had requested.
. That¦s the answer to all your questions.
. Have a look at the attatchment.

Ezen kívül még a következő két e-maillel találkozhat a szerencsétlen felhasználó:

Feladó: security@microsoft.com [az e-mailcím meg van hamisíva]
Tárgy: Who should read this bulletin: Users running Microsoft Windows
Tartalom:
Hello,
You should apply this fix which solves the newest
Internet Explorer Vulnerability described in MS05-023.
It is important that you apply this fix now since
we estimate the Buffer Overflow is at a Critical Level.
Sincerely Yours The Microsoft Security Team
2003 Microsoft Corporation. All rights reserved.
Csatolmány: Q723523_W9X_WXP_x86_EN.exe

vagy

Tárgy: Your Account at Info@[hamis domain] has expired.
Tartalom:
Hello [aktuális felhasználó neve]
We are sorry that we cannot offer our ˝old˝ service anymore.
Your account will expire at the 2003-11-23.
But after all, we still offer a free-mail service,
which you have to http://[hamis domain]
join right now !!!
Our new prices and services are described in the attached html file,
which is a compressed ZIP archive.
Sicerely Yours
The [hamis domain] Team
Csatolmány: message.zip

A féreg paraméterei

Felfedezésének ideje: 2003. október 12.
Utolsó frissítés ideje: 2003. október 15.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/Server 2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: körülbelül 65.536 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– megjelenít egy üzenetet, melyben magát a Windows RPC-DCOM javításának tünteti fel
– bemásolja magát a Windows könyvtárba schost.exe néven
– felmásolja magát ugyanide egy EXE file formájában, a név pedig a következők valamelyike lehet:
. spool[véletlenszerűen választott betűk]
. SMSS[véletlenszerűen választott betűk]
– ismétlődően megnyit és bezár egy parancsablakot:
Fejléc: [az előbb említett file neve]
Message: [rendszerdátum és -idő] xExec [Windows elérési útvonala]/[az előbb említett file neve].exe
– létrehozza a C meghajtó gyökerében a Torvil.log állományt, mely önmagában nem veszélyes
– hozzáadja a Service Host=[Windows elérési útvonala]/[file-név].exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– hozzáadja a Shell=Explorer.exe [Windows elérési útvonala]/[file-név].exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon kulcshoz
– létrehozza a OneLevelDeeper/TorvilDB alkulcsot a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/explorer/Advanced Registry kulcsban; és hozzáadja a TORVIL=[file-név].exe bejegyzést
– létrehozza a Torvil mutexet, ezzel akadályozva meg, hogy többször is betöltődjön a memóriába
– Windows 9x és Millennium alatt service process-ként regisztrálja magát
– magát service-ként futtatja Windows NT/2k/XP alatt, Torvil néven
– leállítja a rendszerre telepített behatolásvédelmi szoftverek futó process-eit
– megkísérel gyenge jelszóval védett megosztásokhoz csatlakozni; ha sikerül, felmásolja oda magát Remainder.exe néven
– megkeresi a rendszerleíró adatbázisban a Kazaa és a Xolox megosztott könyvtárait, valamint az ICQ letöltési könyvtárát; felmásolja ide magát a következő neveken:
. NetObjects Fusion v7.5
. Macromedia Studio MX 2004 AllApps
. BearShare Pro 4.3.0
. Borland C++ BuilderX 1.0 Enterprise Edition
. Microsoft Office System Professional V2003
. Halo FLT
. Nero Burning ROM v6.0.0.19 Ultra Edition
. TVTool v8.31
. NHL 2004
. Norton SystemWorks 2004
. McAfee Personal Firewall Plus 2004
. iMesh 4.2 Ad Remover
. Norton AntiVirus 2004
. Norton Antispam 2004
. Sophos AntiVirus v3.74
. Macromedia Contribute 2
. McAfee VirusScan Home Edition 2004
. McAfee SpamKiller 2004
– megkísérli módosítani a Mirc.ini állományt annak érdekében, hogy az IRC-kliens a féreg másolatait szétküldje
– az Outlook Address Bookjából e-mailcímeket gyűjt, majd az aktuális MAPI program illetve saját SMTP-motorja révén továbbítja magát az összes címre



Szólj hozzá!

További Dotkom

Hirdetés

Népszerű

Hirdetés

Technokrata a Facebookon

Hirdetés

IoT-Magazin.hu

Hirdetés

Kütyük

Smart home

Így képzelik el a magyarok az álomotthonukat

2024. március 20. szerda

Office

Foglalj helyet, hogy helyet foglalhass!

2024. március 13. szerda

Smart home

Okoskészülék vagy hagyományos háztartási gép?

2024. február 28. szerda
owlet care babafigyelő

Smart home

OWLET CARE a magyarországi piacon!

2024. február 26. hétfő
Hirdetés

Dotkom

Műszaki-Magazin.hu

Hirdetés