Connect with us

technokrata

A rendszer működését alaposan átszabó féregvírus jelent meg

Dotkom

A rendszer működését alaposan átszabó féregvírus jelent meg

Trójai képességgel is rendelkezik a Xaobot nevű féreg, mely a rendszerleíró adatbázist jelentős mértékben ˝testreszabja˝.

A féreg paraméterei

Felfedezésének ideje: 2003. november 9.
Utolsó frissítés ideje: 2003. november 10.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 220.634 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba wininit32.exe néven
– felmásolja magát a következő könyvtárakba is:
. a Kazaa első megosztott könyvtára
. a Morpheus My Shared Folder
. az iMesh DownloadsLocation mappája
. /Program Files/eDonkey2000/incoming
. /Program Files/LimWire/Shared
. My Music mappa
– a fenti helyekre a következő nevekkel kerül fel:
. Doom 3 NO CD Crack.exe
. Half-Life 2 Keygen.exe
. Half-Life 2 NO CD Crack.exe
. Jedi Academy NO CD Crack.exe
. Max Payne 2 NO CD Crack.exe
. Medal Of Honor – Pacific Assault NO CD Crack.exe
– hozzáadja a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/PCHealth/ErrorReporing Registry kulcshoz a következő értékeket:
. ˝AllOrNone˝=˝1˝
. ˝IncludeKernelFaults˝=˝1˝
. ˝IncludeMicrosoftApps˝=˝1˝
. ˝IncludeWIndowsApps˝=˝1˝
. ˝ShowUI˝=˝0˝
. ˝DoReport˝=˝0˝
– hozzáadja a ˝SysInit˝=˝wininit32.exe˝ bejegyzést a következő kulcsokhoz:
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
– hozzáadja a ˝StubPath˝=˝wininit32.exe˝ bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/Active Setup/Installed Components/SysInit Registry kulcshoz
– hozzáadja a ˝LastMonth˝=˝[az év aktuális hónapja]˝ bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/Connect Registry kulcshoz
– rögzíti a ˝DisableRegistryTools˝=˝1˝ értéket a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/System kulcsban
– felviszi a ˝DisallowRun˝=˝1˝ bejegyzést a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/Explorer Registry kulcsba
– számos értéket visz fel a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/Explorer/DisallowRun kulcsba
– hozzáadja a rendszerleíró adatbázishoz az alábbi Registry kulcsokat:
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run-
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices-
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run-
– rengeteg bejegyzést töröl ki a következő Registry kulcsokból:
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
– megkísérli letörölni az alábbi állományokat a System könyvtárból:
. syscfg32.exe
. cnfgldr.exe
. sysmon16.exe
. tskmgr32.exe
. winsys.exe
. tskman.exe
. taskmrg.exe
. win.exe
. syslog.exe
. msgsrv.exe
. msnb.exe
. TCPSVS32.EXE
. NAV32_LOADER.EXE
. winservices.exe
. RAVMOND.exe
. WinHelp.exe
. IEXPLORE.EXE
– megkísérli letörölni a lenti file-okat a Windows mappából:
. temp//r.bat
. Hello-Kitty.exe
. BigMac.exe
. WINMGM32.EXE
. SNTMLS.DAT
. DWN.DAT
. SNTMLS.DAT
. fonts//explorer.exe
. fonts//rundll32.exelitmus//winup.exe
. litmus//MSGSRV320.exe
. litmus//MSGORV32.exe
. litmus//msgsrv32.exe
. litmus//killer.exe
. DIRECX.DLL
. mirc.exe
. mirc32.exe
. temp.exe
. temp2.exe
. explore.exe
. psexec.exe
. rconnect.exe
. whvlxd.exe
. iiscache.dll
. vbrun7.dll
. mirc.ini
. mirc2.ini
. mirc3.ini
. script.ini
. auth.ini
. settings.ini
. pr.ini
. whvlxd.dat
. fdrive.dat
. gates.txt
. temp.scr
. Winnt32.nfo
. remote.ini
– saját IRC-kliensét használva csatlakozik egy IRC-csatornához, és alkotójától érkező parancsokra várakozik



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek