Connect with us

technokrata

Rafinált módon szaporodó féregvírus

Dotkom

Rafinált módon szaporodó féregvírus

A Wullik B változata a rendszerben és azon kívül is ravasz módszerrel igyekszik sokszorosítani magát.

A fertőzött e-mail jellemzői

Tárgy: MS?DOS???? (a kérdőjelek helyén kínai karakterek állnak)
Tartalom: [kínai nyelvű szöveg]
Csatolmány: MShelp.EXE

A féreg paraméterei

Felfedezésének ideje: 2003. november 6.
Utolsó frissítés ideje: 2003. november 7.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 49.152 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a Windows könyvtárába Mstray.exe és MShelp.EXE neveken (az állományok, annak ellenére, hogy futtathatóak, ikonként egy mappa grafikáját használják)
– felméri az aktív ablakokat, így amikor egy ablak előtérbe kerül, a féreg létrehozhatja önmaga másolatát (függően annak fejlécétől):
. amennyiben a fejléc megegyezik a féreg aktuális elhelyezkedési útvonalával, a kártevő létrehozza önmaga másolatát egy, a merevlemezen véletlenszerűen választott helyen, elindítja az új másolatot, majd kilép; a féreg új változata pedig törli a régit
. amennyiben a fejléc bármilyen más elérési útvonalat tartalmaz, a féreg ide másolja be magát rejtett attributummal (ennek révén képes akár hálózati megosztásokon keresztül más számítógépeket is megfertőzni)
. abban az esetben, ha a fejléc bármi más, a Wullik B változata a következő állományokat hozhatja létre (a csillagok a fejléc első három karakterét jelentik):
.. ***WINFILE.EXE: a féreg egy másolata
.. ***comment.htt: egy hypertext template file
.. ***desktop.ini
– hozzáadja a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz a következő két bejegyzést:
RavTimeXP= [a féreg által aktuálisan használt név]
RavTimXP= [a féreg által utoljára használt név]
– hozzáadja a RavTimXP bejegyzést a következő Registry kulcshoz: HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Setup
– a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/CabinetState kulcsban levő fullpath bejegyzés értékét 0x1-re változatatja (ez biztosítja, hogy a Windows Explorer fejlécében mindig megjelenjen a teljes elérési útvonal)
– a következő értékeket állítja be a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced Registry kulcsban:
.HideFileExt = 0x1
.Hidden = 0x0
– az Outlook Address Bookjában található összes kontakt számára továbbítja magát



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek