Connect with us

technokrata

DoS-támadást indító Mimail féreg

Dotkom

DoS-támadást indító Mimail féreg

Az egyre ismertebbé váló Mimail féreg M változata elődjeihez hasonló módon DoS-támadást indít néhány, előre meghatározott weboldal ellen.

A fertőzött e-mail jellemzői

Feladó: Wendy (ez meg van hamisítva, ezáltal úgy tűnik, mintha a címzett domainjéből érkezne a levél)
Tárgy: Re[3]
Tartalom: Hello Greg,

I was shocked, when I found out that it wasn´t you but your twin brother!!! That´s amazing, you´re as like as two peas. No one in bed is better than you Greg. I remember, I remember everything very well, that promised you to tell how it was, I´ll give you a call today after 9.

I´m so thankful to you, for acquainted me to your brother. I think we can do it on the next Saturday all three together? What do you think? O yes, as you wanted I´ve made a few pictures check them out in archive, I hope they will excite you, and you will dream of our new meeting…

Wendy.
Csatolmány: wendy.zip vagy only_for_greg.zip

A féreg paraméterei

Felfedezésének ideje: 2003. december 3.
Utolsó frissítés ideje: 2003. december 3.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 10.784 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a Windows könyvtárba netmon.exe néven
– hozzáadja a France = [Windows elérési útvonala]/svchost.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– átnézi a számítógépen tárolt állományokat, s mindegyikből igyekszik kinyerni az összes e-mailcímet; kivéve a következő kiterjesztéssel bíró file-okat: com, wav, cab, pdf, rar, zip, tif, psd, ocx, vxd, mp3, mpg, avi, dll, exe, gif, jpg, bmp
– az így megszerzett kontaktok címeit a Windows könyvtárban, a xjwu2.tmp állományba rögzíti
– a www.register.com URL elérésével leellenőrzi, hogy létezik-e az adott rendszeren aktív Internet-kapcsolat
– egy előre meghatározott e-mailcímre elküld egy speciális ablakból lementett szöveget
– saját SMTP-motorja által e-maileket küld szét a már fent ismertetett karakterisztikában
– DoS-támadást kísérel meg a következő webcímek valamelyike ellen:
. darkprofits.ws
. www.darkprofits.ws
. darkprofits.cc
. www.darkprofits.cc
. darkprofits.net
. www.darkprofits.net
. darkprofits.com
. www.darkprofits.com
– a fenti támadás végrehajtása érdekében létrehoz 15 végrehajtási szálat, s mindegyiken vagy TCP kapcsolatot hoz létre vagy egy ICMP támadást indít, majd várakozik 5 másodpercet
– létrehoz további két állományt a Windows könyvtárban:
. nji2.tmp: a W32.Mimail.M@mm másolata (10.784 byte)
. msi2.tmp: a only_for_greg.zip másolata (10.914 byte)



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek