Connect with us

technokrata

Ismét egy gyorsan terjedő féregvírus okoz gondot

Dotkom

Ismét egy gyorsan terjedő féregvírus okoz gondot

A Symantec ötös veszélyességi listáján csak kevés károkozó éri el a négyes minőstést – a Netsky B változata ezt alig pár órával a megjelenését követően kiérdemelte.

A fertőzött e-mail tulajdonságai

Feladó: hamis címről érkezőnek tünteti fel magát
Tárgy: a következők valamelyike:
. hi
. hello
. read it immediately
. something for you
. warning
. information
. stolen
. fake
. unknown
Tartalom: az alábbiak közül egy:
. anything ok?
. what does it mean?
. ok
. i´m waiting
. read the details.
. here is the document.
. read it immediately!
. my hero
. here
. is that true?
. is that your name?
. is that your account?
. i wait for a reply!
. is that from you?
. you are a bad writer
. I have your password!
. something about you!
. kill the writer of this document!
. i hope it is not true!
. your name is wrong
. i found this document about you
. yes, really?
. that is bad
. here it is
. see you
. greetings
. stuff about you?
. something is going wrong!
. information about you
. about me
. from the chatter
. here, the serials
. here, the introduction
. here, the cheats
. that´s funny
. do you?
. reply
. take it easy
. why?
. thats wrong
. misc
. you earn money
. you feel the same
. you try to steal
. you are bad
. something is going wrong
. something is fool
Csatolmány: néhány példa:
. document
. msg
. doc
. talk
. message
. creditcard
. details
. attachment
. me
. stuff
. posting
. textfile
. concert
. information
. note
. bill
. swimmingpool
A csatolmány kiterjesztése két tagból áll. Az első tag a következők valamelyike lehet: .txt, .rtf, .doc, .htm. A második pedig ezekből egy: .exe, .scr, .com, .pif

A féreg paraméterei

Felfedezésének ideje: 2004. február 18.
Utolsó frissítés ideje: 2004. február 18.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 22.016 byte
Fertőzések száma: több mint 1000
Földrajzi elterjedtsége: közepes
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– létrehozza az AdmSkynetJKIS003. nevű mutexet, így akadályozván meg, hogy többször is betöltődjön a memóriába
– megjeleníti a The file could not be opened! szövegű üzenetet
– felmásolja magát a Windows könyvtárba services.exe néven
– hozzáadja a Service=[Windows elérési útvonala]/services.exe -serv bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– letörli a Taskmon és az Explorer értékeit a következő két Registry kulcsból:
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
– letörli a KasperskeyAV és a System. bejegyzések értékeit a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run kulcsból
– letörli a HEKY_CLASSES_ROOT/CLSID/{E6FB5E20-DE35-11CF-9C87-00AA005127ED}/InProcServer32 Registry kulcsot
– e-mailcímek után kutat a következő kiterjesztéssel bíró állományokban: .msg, .oft, .sht, .dbx, .tbb, .adb, .doc, .wab, .asp, .uin, .rtf, .vbs, .html, .htm, .pl, .php, .txt, .eml
– olyan mappák után kutat a C meghajtótól a Z meghajtóig, melyek neve tartalmazza a Share vagy Sharing sztringet
– amennyiben talál ilyen könyvtára(ka)t, bemásolja oda magát (természetesen optikai meghajtó esetén nem) a következő neveken:
. doom2.doc.pif
. sex sex sex sex.doc.exe
. rfc compilation.doc.exe
. dictionary.doc.exe
. win longhorn.doc.exe
. e.book.doc.exe
. programming basics.doc.exe
. how to hack.doc.exe
. max payne 2.crack.exe
. e-book.archive.doc.exe
. virii.scr
. nero.7.exe
. eminem – lick my pussy.mp3.pif
. cool screensaver.scr
. serial.txt.exe
. office_crack.exe
. hardcore porn.jpg.exe
. angels.pif
. porno.scr
. matrix.scr
. photoshop 9 crack.exe
. strippoker.exe
. dolly_buster.jpg.pif
. winxp_crack.exe
– saját SMTP-motorja révén a már korábban ismertetett formátumban továbbítja magát a megszerzett e-mailcímekre
– felmásolja magát a Windows könyvtárba 40 darab ZIP állomány formájában; a file-ok nevei egyezőséget mutatnak a csatolmány elnevezéseivel



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek