Connect with us

Hirdetés

technokrata

Tovább mutálódott a Beagle féregvírus

Dotkom

Tovább mutálódott a Beagle féregvírus

Már az N változatnál jár a Beagle féreg, mely elődjeihez nagyban hasonlító paraméterekkel rendelkezik.

A fertőzött e-mail tulajdonságai

Feladó: természetesen meghamisított:
– management@[címzett domainje]
– administration@[címzett domainje]
– staff@[címzett domainje]
– antivirus@[címzett domainje]
– antispam@[címzett domainje]
– noreply@[címzett domainje]
– support@[címzett domainje]

Tárgy: egy sok elemből álló, előre elkészített listából válogat; néhány példa:
– E-mail account disabling warning.
– E-mail account security warning.
– Encrypted document
– Fax Message Received
– Forum notify
– Hidden message
– Important notify about your e-mail account.
– Notify about using the e-mail account.
– Notify about your e-mail account utilization.

Tartalom: az alábbiak valamelyikével kezdődik (ezt követően még több sorból áll az e-mail):
– Dear user of [domain],
– Dear user of [domain] gateway e-mail server,
– Dear user of e-mail server ˝[domain]˝,
– Hello user of [domain] e-mail server,
– Dear user of ˝[domain]˝ mailing system,
– Dear user, the management of [domain] mailing system wants to let you know that,

Csatolmány: [az alábbiak közül egy].[zip, rar vagy pif]
– Attach
– Details
– Document
– Encrypted
– Gift
– Info
– Information
– Message
– MoreInfo
– Readme
– Text
– TextDocument
– details
– first_part
– pub_document
– text_document
A fenti állomány (ha RAR vagy ZIP) egy véletlenszerűen elnevezett, jelszóvédett EXE file-t tartalmaz.

A féreg paraméterei

Felfedezésének ideje: 2004. március 15.
Utolsó frissítés ideje: 2004. március 15.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: körülbelül 44.527 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza az alábbi állományokat a System könyvtárban:
. winupd.exe – a féreg másolata
. winupd.exeopen – a féreg másolata
. winupd.exeopenopen – a féreg másolata; vagy egy jelszóvédett ZIP állomány, vagy pedig egy szintén védett RAR file
. winupd.exeopenopenopen – egy olyan .bmp file, ami a ZIP/RAR állomány kicsomagolásához szükséges jelszót tartalmazza
– hozzáadja a winupd.exe=[System elérési útvonala]/winupd.exe bejegyzést a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– megkísérli a rendszerre telepített behatolásvédelmi szoftverek futó process-einek leállítását
– letörli a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run és a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run kulcsokból a következő bejegyzéseket:
. 9XHtProtect
. Antivirus
. HtProtect
. ICQ Net
. ICQNet
. My AV
. Special Firewall Service
. Tiny AV
. Zone Labs Client Ex
. service
– megnyitja a 2556-ös TCP portot, amin keresztül jogosulatlan hozzáférést kínál a fertőzött számítógéphez; amennyiben a támadó file-t küld a rendszernek, az a Windows könyvtárba kerül (iuplda[néhány karakter].exe néven), innen aztán akár futtatni is lehet
– file-megosztó programok révén is képes szaporodni: ehhez a ˝shar˝ sztringet tartalmazó könyvtárakba másolja be magát; ehhez az alábbi nevek egyikét használja:
. ACDSee 9.exe
. Adobe Photoshop 9 full.exe
. Ahead Nero 7.exe
. Matrix 3 Revolution English Subtitles.exe
. Microsoft Office 2003 Crack, Working!.exe
. Microsoft Office XP working Crack, Keygen.exe
. Microsoft Windows XP, WinXP Crack, working Keygen.exe
. Opera 8 New!.exe
. Porno Screensaver.scr
. Porno pics arhive, xxx.exe
. Porno, sex, oral, anal cool, awesome!!.exe
. Serials.txt.exe
. WinAmp 5 Pro Keygen Crack Update.exe
. WinAmp 6 New!.exe
. Windown Longhorn Beta Leak.exe
. Windows Sourcecode update.doc.exe
. XXX hardcore images.exe
– a fertőzött számítógépben levő merevlemezek összes partícióján levő EXE file-okat megfertőzi
– a helyi meghajtókat feltérképezi e-mailcímek után kutatva; ehhez a következő kiterjesztéssel bíró állományokat keresi meg: adb, asp, cfg, cgi, dbx, dhtm, eml, htm, jsp, mbx, mdx, mht, mmf, msg, nch, ods, oft, php, pl, sht, shtm, stm, tbb, txt, uin, wab, wsh, xls, xml
– saját SMTP motorjának használatával az így megszerzett címekre továbbítja magát; ez alól csak az alábbi sztringek valamelyikével bíró címek képeznek kivételt: @avp., @foo, @hotmail.com, @iana, @messagelab, @microsoft, @msn, abuse, admin, anyone@, bsd, bugs@, cafee, certific, contract@, f-secur, feste, free-av, gold-certs@, google, help@, icrosoft, info@, kasp, linux, listserv, local, nobody@, noone@, noreply, ntivi, panda, pgp, postmaster@, rating@, root@, samples, sopho, spam, support, unix, winrar, winzip



Szólj hozzá!

További Dotkom

Hirdetés

Népszerű

Hirdetés

Technokrata a Facebookon

Hirdetés

IoT-Magazin.hu

Hirdetés

Kütyük

Smart home

Így képzelik el a magyarok az álomotthonukat

2024. március 20. szerda

Office

Foglalj helyet, hogy helyet foglalhass!

2024. március 13. szerda

Smart home

Okoskészülék vagy hagyományos háztartási gép?

2024. február 28. szerda
owlet care babafigyelő

Smart home

OWLET CARE a magyarországi piacon!

2024. február 26. hétfő
Hirdetés

Dotkom

Műszaki-Magazin.hu

Hirdetés