Connect with us

Hirdetés

technokrata

Többszörösen mutálódott a Beagle féregvírus

Dotkom

Többszörösen mutálódott a Beagle féregvírus

Egy hétvége alatt sok mutációra volt képes a Beagle, ebből négyet egy hírbe vontunk össze; lévén, hogy működési elvük, sajátosságaik lényegében megegyeznek.

A fertőzött e-mail tulajdonságai

Mind a tárgy, mind a levél törzse változó, ahogyan a csatolmány neve is. Ez utóbbi kiterjesztése háromféle: .exe, .scr, .zip lehet.

A féreg paraméterei

Felfedezésének ideje: 2004. február 29. – március 1.
Utolsó frissítés ideje: 2004. március 1. – március 2.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: változó (18-22 kB)
Fertőzések száma: 50-999
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– leellenőrzi a rendszerdátumot, amennyiben az 2004. március 25-e utáni, felfüggeszti futását
– létrehozza az imain_mutex nevű mutexet, így csak egyszer töltődik be a memóriába
– felmásolja magát a System könyvtárba i1ru54n4.exe vagy i1r54n4.exe néven
– létrehozza a következő file-okat ugyanitt:
. go54o.exe vagy go154o.exe (18.944 vagy 19.968 byte) – a féreg e-mailező, DLL modulja, voltaképp a W32.Beagle.A@mm féreg
. ii5nj4.exe vagy i1i5n1j4.exe (1536 byte) – szintén DLL file, a fenti állomány betöltője
. i1ru54n4.exeopen vagy i11r54n4.exeopen – ZIP file
– az explorer.exe process-e révén lefuttattja a fent említett állományok közül az elsőt, ami a levelezésért felelős
– hozzáadja a rate.exe=[System elérési útvonala]/i1i5n1j4.exe vagy ii5nj4.exe bejegyzést a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– az F és a G változat esetén hozzáadja a HKEY_CURRENT_USER/SOFTWARE/winword kulcshoz a frun=1 bejegyzést
– megnyitja a 2745-ös TCP portot, amin keresztül jogosulatlan hozzáférést kínál a fertőzött számítógéphez
– HTTP GET kérelmeket küld a 80-as TCP porton át a következő website-oknak (I és H változat):
. postertog.de
. www.gfotxt.net
. www.maiklibis.de
– az F és a G variáns ugyanezen website-ok scr.php oldalait támadja
– a GET kérelmek (az I és a H verziónál) magukban foglalják azt a portszámot, melyen a fertőzött számítógép hallgatózik, illetve az komputer IP-címét
– megkísérli a rendszerre telepített behatolásvédelmi szoftverek futó process-einek leállítását
– a helyi meghajtókat feltérképezi e-mailcímek után kutatva; ehhez a következő kiterjesztéssel bíró állományokat keresi meg: .wab, .txt, .htm, .html, .dbx, .mdx, .eml, .nch , .mmf, .ods, .cfg, .asp, .php, .pl, .adb, .sht, .xml
– saját SMTP motorjának használatával az így megszerzett címekre továbbítja magát; ez alól csak az alábbi sztringek valamelyikével bíró címek képeznek kivételt:
.gr, @hotmail.com, @msn.com, @microsoft, @avp., noreply, local, root@, postmaster@
– az F és a G változat képes file-megosztó hálózatokon is szaporodni: a shar sztringet magukban foglaló könyvtárakba másolja be magát néhány file képében, melyek nevei az alábbi lista elemei közül kerülnek ki:
. ACDSee 9.exe
. Adobe Photoshop 9 full.exe
. Ahead Nero 7.exe
. Matrix 3 Revolution English Subtitles.exe
. Microsoft Office 2003 Crack, Working!.exe
. Microsoft Office XP working Crack, Keygen.exe
. Microsoft Windows XP, WinXP Crack, working Keygen.exe
. Opera 8 New!.exe
. Porno pics arhive, xxx.exe
. Porno Screensaver.scr
. Porno, sex, oral, anal cool, awesome!!.exe
. Serials.txt.exe
. WinAmp 5 Pro Keygen Crack Update.exe
. WinAmp 6 New!.exe
. Windown Longhorn Beta Leak.exe
. Windows Sourcecode update.doc.exe

Tovább
Hirdetés



Szólj hozzá!

További Dotkom

Hirdetés

Népszerű

Hirdetés

Technokrata a Facebookon

Hirdetés

IoT-Magazin.hu

Hirdetés

Kütyük

Smart home

Így képzelik el a magyarok az álomotthonukat

2024. március 20. szerda

Office

Foglalj helyet, hogy helyet foglalhass!

2024. március 13. szerda

Smart home

Okoskészülék vagy hagyományos háztartási gép?

2024. február 28. szerda
owlet care babafigyelő

Smart home

OWLET CARE a magyarországi piacon!

2024. február 26. hétfő
Hirdetés

Dotkom

Műszaki-Magazin.hu

Hirdetés