Connect with us

technokrata

Hiányzó csatolmánya ellenére fertőző vírusos e-mail

Dotkom

Hiányzó csatolmánya ellenére fertőző vírusos e-mail

A Wallon nevű féreg ugyan csatolmány nélkül érkezik a célpont rendszerekbe, ám ennek ellenére képes oda behatolni, egy sebezhetőség kihasználásával.

A fertőzött e-mail jellemzői

Tárgy: Re:
Tartalom: egy URL-t tartalmaz, mely a következőképp néz ki:
http://drs.yahoo.com/[címzett domainje]/NEWS
Csatolmány: nincs

A féreg paraméterei

Felfedezésének ideje: 2004. május 11.
Utolsó frissítés ideje: 2004. május 11.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 36.352 byte, 150.528 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– amennyiben a felhasználó rákattint a levélben levő linkre, átirányításra kerül egy olyan weboldara, ahonnan letöltődik a wmplayer.exe nevű állomány a Windows Media Player mappájába
– ezen webhely kialakítása olyan, hogy képes kiaknázni az Internet Explorer egyik hibáját, s automatikusan le tudja a böngészővel töltetni a fenti állományt, mely után le is futtatja azt
– a féreg aktiválódhat akkor is, ha a letöltés után ugyan nem került automatikusan megnyitásra, de a felhasználó el akarja indítani a Windows Media Playerét
– létrehozza az alábbi Registry kulcsokat:
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Extensions/{FE5A1910-F121-11d2-BE9E-01C04A7936B1}
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Extensions/{FE5A1910-F121-11d2-BE9E-01C04A7936B2}
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Extensions/{FE5A1910-F121-11d2-BE9E-01C04A7936B3}
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Extensions/{FE5A1910-F121-11d2-BE9E-01C04A7936B4}
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Extensions/{FE5A1910-F121-11d2-BE9E-01C04A7936B5}
– ezzel párhuzamosan létrehoz öt gombot is az Internet Explorer eszköztárában; minden egyes gomb egy URL-re mutat, mely a következőképp kezdődik: http:/ /www.google.com.super-fast-search.apsua.com
– a féreg módosítja az Internet Explorer alapértelmezett keresőoldalát, mégpedig a következőre: http:/ /www.google.com.super-fast-search.apsua.com/search.htm
– a fent említett állomány egy előre eltárolt URL-ről letölti a not.exe nevű file-t, melyet aztán a C meghajtó gyökerébe ment le, Alpha.exe néven
– ennek az állománynak a lefutását követően bejegyzésre kerül a Wh=Yes érték a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Internet Explorer/Main kulcsba
– az Alpha.exe kiolvassa a felhasználó SMTP-beállításait, majd megnyitja a Windows és az Outlook Address Bookját, s e-mailben továbbítja magát az ezekben megtalálható kontaktok számára
– a féreg írója számára eljuttatja a megszerzett e-mailcímeket



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek