Connect with us

technokrata

Új Media Player – valójában féregvírus

Dotkom

Új Media Player – valójában féregvírus

Az Anarch nevű féreg a Media Player neve ismertségét felhasználva próbálkozik meg a rendszerekbe való behatolással.

A fertőzött e-mail jellemzői

Tárgy: New Media Player!!
Tartalom: Hi-This new media player will blow you away try it!
Csatolmány: M_Player_v1.0.exe

A féreg paraméterei

Felfedezésének ideje: 2003. november 19.
Utolsó frissítés ideje: 2003. november 21.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 40.960 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja magát a Windows könyvtárba INISvc.exe névvel
– hozzáadja a Win_Library=[Windows elérési útvonala]/INISvc.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– létrehozza a System könyvtárban a data32 nevű rejtett mappát, s ide felmásolja magát a következő neveken:
M_Player_v1.0.exe
. Hotmail_hack.exe
. ICQ_Lite.exe
. sega_emulator.exe
. PS2_TO_ISO.exe
. DVD_Wizard.exe
. Rise_Of_Nations.exe
. Fake_AOL_Messenger.exe
. Hack_AOL_Destroy.exe
. WW3_Online.exe
. Anarchist_CookBook.exe
. Yahoo_Messenger.exe
– Settings néven létrehoz egy rejtett könyvtárat az éppen aktuális mappa alatt, s bemásolja oda magát rad[véletlenszerűen válaszott karakterek].tmp_NUDE.exe névvel
– bemásolja magát az alábbi könyvtárakba:
. [System könyvtár elérési útvonala]/data32
. C:/My Download Files
. C:/My Shared Folder
. [Program Files elérési útvonala]/Bearshare/shared
. [Program Files elérési útvonala]/eDonkey2000/incoming
. [Program Files elérési útvonala]/Gnucleus/Downloads
. [Program Files elérési útvonala]/Grokster/my grokster
. [Program Files elérési útvonala]/ICQ/Shared Folder
. [Program Files elérési útvonala]/KaZaA/my shared folder
. [Program Files elérési útvonala]/KaZaA lite/My Shared Folder
. [Program Files elérési útvonala]/KaZaA Lite K++/my shared folder
. [Program Files elérési útvonala]/KMD/my shared folder
. [Program Files elérési útvonala]/Limewire/shared
. [Program Files elérési útvonala]/mIRC/download
. [Program Files elérési útvonala]/Morpheus/my shared folder
. [Program Files elérési útvonala]/Overnet/incoming
. [Program Files elérési útvonala]/Rapigator/Share
. [Program Files elérési útvonala]/Shareaza/Downloads
. [Program Files elérési útvonala]/Tesla/Files
. [Program Files elérési útvonala]/WinMX/shared
. [Program Files elérési útvonala]/XoloX/Downloads
– ehhez a következő állományneveket alkalmazza:
. ADSL_CableModem_Speedup.exe
. AD_Aware_PRO.exe
. Beyonce_Screensaver_NUDE.exe
. Cable_Modem_Tweak.exe
. CALC.EXE
. Delphi_6_Serial_Works.exe
. Girl_Next_Door.exe
. goat.exe
. Norton_SystemWorks.exe
. Office_XP_Serial.exe
. Port_Scan.exe
. Sobig_F_Sourcecode.exe
. Tweak_XP.exe
. Visual_Basic_6_keygen.exe
– hozzáadja a Dir0=012345:[System elérési útvonala]/Data32 bejegyzést a HKEY_CURRENT_USER/SOFTWARE/KaZaA/LocalContent Registry kulcshoz
– 0-ra módosítja a HKEY_CURRENT_USER/Software/Kazaa/LocalContent kulcs DisableSharing értékét
– a Microsoft Outlookja, illetve az annak Address Bookjában található címlista segítségével e-mailben továbbítja magát



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek