Connect with us

technokrata

A veszélyes Mimail féregvírus új változata terjed

Dotkom

A veszélyes Mimail féregvírus új változata terjed

Szinte mindegyik antivírus cég megemelte a féreg veszélyességének besorolási szintjét; a Mimail C változata ugyanis legtöbb társához képest nagyon gyorsan terjed.

A fertőzött e-mail jellemzői

Feladó: james@[aktuális domain] – ez természetesen meg van hamisítva
Tárgy: Re[2]: our private photos [véletlenszerűen választott betűsorozat]
Tartalom:Hello Dear!,

Finally i´ve found possibility to right u, my lovely girl 🙂
All our photos which i´ve made at the beach (even when u´re without ur bh:))
photos are great! This evening i´ll come and we´ll make the best SEX 🙂
Right now enjoy the photos.

Kiss, James.
[véletlenszerűen választott betűsorozat]
Csatolmány: photos.zip

A féreg paraméterei

Felfedezésének ideje: 2003. október 31.
Utolsó frissítés ideje: 2003. november 2.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 12.832 byte
Fertőzések száma: 50-999
Földrajzi elterjedtsége: közepes
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a Windows könyvtárba Netwatch.exe néven
– hozzáadja a NetWatch32=[Windows elérési útvonala]/Netwatch.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– a következő kiterjesztéssel bíró állományokban kutat e-mail címekért: .bmp, .jpg, .gif, .exe, .dll, .avi, .mpg, .mp3, .vxd, .ocx, .psd, .tif, .zip, .rar, .pdf, .cab, .wav, .com
– az összes így megszerzett címet a Windows könyvtárba (eml.tmp) írja be
– a www.google.com megnyitásával ellenőrzi, hogy él-e Internet-kapcsolat a számítógépen
– speciális Windows ablakokról szöveget lop, majd ezeket az adatokat a féregben lekódolt e-mail címekre továbbítja
– saját SMTP motorja révén továbbítja magát
– a csatolmány (photos.zip) csak egy file-t tartalmaz, a photos.jpg.exe-t
– DoS-támadást indít a következő négy webhely valamelyike ellen: darkprofits.net, www.darkprofits.net, darkprofits.com, www.darkprofits.com
– további két file-t is létrehoz a Windows könyvtárban:
Zip.tmp: a message.zip ideiglenes másolata (12.958 byte)
Exe.tmp: a message.html ideiglenes másolata (12.832 byte)

Megjegyzés

A féregnek időközben két, az eredetitől minimális mértékben eltérő változatát is felfedezték. Az ehhez tartozó fertőzött e-mail a C változatéhoz képest eltérő karakterisztikát mutat:

Tárgy: don´t be late! [véletlenszerűen választott betűsorozat]
Tartalom: Will meet tonight as we agreed, because on Wednesday I don´t think I´ll make it, so don´t be late. And yes, by the way here is the file you asked for.
It´s all written there. See you.
[véletlenszerűen választott betűsorozat]
Csatolmány: readnow.zip



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek