Connect with us

technokrata

E-mailben szaporodó féregvírus

Dotkom

E-mailben szaporodó féregvírus

A Galil F változata hamis feladóval ellátott e-mailcímről érkezik, s számos sémából válogathat, mellyel rá tudja venni a felhasználót a fertőzött levél megnyitására.

A fertőzött e-mail jellemzői

Feladó: egy meghamisított e-mailcím
Tárgy: véletlenszerűen választott sor, mely egyébként a csatolmány neve is lehet (ez utóbbi kiterjesztése a következők egyike: .bhx, .exe, .hqx, .mim, .uu , .uue vagy .xxe)
Tartalom: néhány példa
– [üres]
– hey
Check this out 😉
– Hey
I thought you trusted me but …
i haven´t ever thought i should send u my briefcase to gain ur Trust .
Have it all 🙂 bye
– Hey Wussap?
Here is the Emmy 😉 Dont tell Sam abt it
Cya
– Another one?
– Heyyyy
– I lost the other email , anyway i sent u all u need
Cya
– Hey
i have just got it , plz tell me if u need more.
bye
– Heyyyyyyyy Lola Wussaaap??
I forgot to tell u , the other file is with Sam:) bye
-YO DUMP , IM SICK OF UR EMAILS , IF U LOSE IT AGAIN I WONT GIVE IT TO U, SAVE IT
BYEEE
-Hey wussap?
i lost Sara´s Email plzz send this file to her 🙂
and tell her i can´t be online tonight
Bye

A féreg paraméterei

Felfedezésének ideje: 2004. február 2.
Utolsó frissítés ideje: 2004. február 5.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 67.934 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– megjelenít egy Winzip fejlécű hamis hibaüzenetet, melyben arról tájékoztatja a felhasználót, hogy a Winzip nem volt képes megnyitni az állományt
– létrehozhatja a Windows könyvtárban a Sys32s mappát, ahova bemásolja magát ZaCker.exe néven, csak olvasható, rejtett és rendszer attributummal
– felmásolja magát a System könyvtárba MizZabbat32.exe néven
– az alábbi állományokat is létrehozhatja a rendszerben:
. System/Syschk.exe – csak olvasható, rejtett és rendszer attributum, 29.183 byte
. System/Smtp.Ocx – 25.736 byte
. System/Runhelp.cab – 6.323 byte
. Windows/Sys32s/Runhelp.cab – csak olvasható, rejtett és rendszer attributum, 6.323 byte
. Windows/Web/Folder.htt – rejtett és archív attributum, 15.483 byte
– hozzáadhatja a SystemChecker=[System elérési útvonala]/Syschk.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrenVersion/Run Registry kulcshoz
– hozzáadhatja a Cya bejegyzést a HKEY_CURRENT_USER Registry kulcshoz
– e-mailcímeket gyűjt a következő állományokból: a felhasználó Temporary Internet Files mappájából, a Yahoo Messenger könyvtárából, az Outlook address bookjából és a következő kiterjesztéssel bíró file-okból: .asf, .avi, .doc, .jpg, .mdb, .mpe, .mpeg, .mpg, .pps, .ram, .rar és .xls
– saját SMTP-motorja révén vagy Outlook segítségével továbbítja magát a fenti címekre



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek