Connect with us

Hirdetés

technokrata

Egyre több féregvírus akarja kiirtani a Mydoomot

Dotkom

Egyre több féregvírus akarja kiirtani a Mydoomot

Már több digitális kártevő jelent meg a Mydoom kapcsán, ami eltávolítja a fertőzött rendszerből a férget, mint ahány változat magából az eredetiből készült. Ezek egyike a Deadhat B változata.

A féreg paraméterei

Felfedezésének ideje: 2004. február 12.
Utolsó frissítés ideje: 2004. február 12.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 56.832 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– megjeleníthet egy ablakot, melyben a Corrupted File, Error executing program! szöveg tárul a felhasználó elé
– bemásolja magát a System könyvtárba msgsrv32.exe néven
– hozzáadja msgsrv32=[System elérési útvonala]/msgsrv32.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– letörli a következő állományokat:
. C:/boot.ini
. C:/autoexec.bat
. C:/config.sys
. C:/Windows/win.ini
. C:/Windows/system.ini
. C:/Windows/wininit.ini
. C:/Winnt/win.ini
. C:/Winnt/system.ini
. C:/Winnt/wininit.ini
– megkeresi a rendszerre esetlegesen telepített Soulseek file-cserélő alkalmazást, és felmásolja magát annak megosztott könyvtárába; ehhez a következő file-nevek egyikét használja:
. Windows2003Keygen.exe
. mIRC.v6.12.Keygen.exe
. Norton.All.Products.KeyMkr.exe
. F-Secure.Antivirus.Keymkr.exe
. FlashFXP.v2.1.FINAL.Crack.exe
. SecureCRTPatch.exe
. TweakXPProKeyGenerator.exe
. FRUITYLOOPS.SPYWIRE.FIX.EXE
. ALL.SERIALS.COLLECTION.2003-2004.EXE
. WinRescue.XP.v1.08.14.exe
. GoldenHawk.CDRWin.v3.9E.Incl.Keygen.exe
. BlindWrite.Suite.v4.5.2.Serial.Generator.exe
. Serv-U.allversions.keymaker.exe
. WinZip.exe
. WinRar.exe
. WinAmp5.Crack.exe
– a 2766-os TCP porton hallgatózik bejövő csatlakozásokra várva; amennyiben egy távoli támadó becsatlakozik és egy programot feltölt, akkor azt lefuttatja
– képes a rendszerre telepített behatolás- és vírusvédelmi szoftverek futó processeinek leállítására
– megkísérli leállítani azon futó process-eket, melyek a Mydoom féreggel vannak kapcsolatban
– megkísérli a Mydoom féreg eltávolítását a következő Registry kulcsok törlésével:
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run/TaskMon
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run/Explorer
. HKEY_CURRENT_USER/CLSID/{E6FB5E20-DE35-11CF-9C87-00AA005127ED}/ InprocServer32
. HKEY_CLASSES_ROOT/CLSID/{E6FB5E20-DE35-11CF-9C87-00AA005127ED}/InprocServer32
– a hálózaton fertőzött számítógépek után keres; véletlenszerűen generált IP-címeken, illetve a 3127-es, a 3128-as és a 1080-as portokon keresztül; ha sikerült csatlakoznia, elküldi és elindítja saját maga másolatát a Mydommal fertőzött számítógépen
– felcsatlakozik egy IRC-szerverre és utasításokra vár



Szólj hozzá!

További Dotkom

Hirdetés

Népszerű

Hirdetés

Technokrata a Facebookon

Hirdetés

IoT-Magazin.hu

Hirdetés

Kütyük

Smart home

Így képzelik el a magyarok az álomotthonukat

2024. március 20. szerda

Office

Foglalj helyet, hogy helyet foglalhass!

2024. március 13. szerda

Smart home

Okoskészülék vagy hagyományos háztartási gép?

2024. február 28. szerda
owlet care babafigyelő

Smart home

OWLET CARE a magyarországi piacon!

2024. február 26. hétfő
Hirdetés

Dotkom

Műszaki-Magazin.hu

Hirdetés