Connect with us

Hirdetés

technokrata

Hiányzó csatolmánya ellenére fertőző vírusos e-mail

Dotkom

Hiányzó csatolmánya ellenére fertőző vírusos e-mail

A Wallon nevű féreg ugyan csatolmány nélkül érkezik a célpont rendszerekbe, ám ennek ellenére képes oda behatolni, egy sebezhetőség kihasználásával.

A fertőzött e-mail jellemzői

Tárgy: Re:
Tartalom: egy URL-t tartalmaz, mely a következőképp néz ki:
http://drs.yahoo.com/[címzett domainje]/NEWS
Csatolmány: nincs

A féreg paraméterei

Felfedezésének ideje: 2004. május 11.
Utolsó frissítés ideje: 2004. május 11.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 36.352 byte, 150.528 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– amennyiben a felhasználó rákattint a levélben levő linkre, átirányításra kerül egy olyan weboldara, ahonnan letöltődik a wmplayer.exe nevű állomány a Windows Media Player mappájába
– ezen webhely kialakítása olyan, hogy képes kiaknázni az Internet Explorer egyik hibáját, s automatikusan le tudja a böngészővel töltetni a fenti állományt, mely után le is futtatja azt
– a féreg aktiválódhat akkor is, ha a letöltés után ugyan nem került automatikusan megnyitásra, de a felhasználó el akarja indítani a Windows Media Playerét
– létrehozza az alábbi Registry kulcsokat:
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Extensions/{FE5A1910-F121-11d2-BE9E-01C04A7936B1}
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Extensions/{FE5A1910-F121-11d2-BE9E-01C04A7936B2}
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Extensions/{FE5A1910-F121-11d2-BE9E-01C04A7936B3}
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Extensions/{FE5A1910-F121-11d2-BE9E-01C04A7936B4}
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Extensions/{FE5A1910-F121-11d2-BE9E-01C04A7936B5}
– ezzel párhuzamosan létrehoz öt gombot is az Internet Explorer eszköztárában; minden egyes gomb egy URL-re mutat, mely a következőképp kezdődik: http:/ /www.google.com.super-fast-search.apsua.com
– a féreg módosítja az Internet Explorer alapértelmezett keresőoldalát, mégpedig a következőre: http:/ /www.google.com.super-fast-search.apsua.com/search.htm
– a fent említett állomány egy előre eltárolt URL-ről letölti a not.exe nevű file-t, melyet aztán a C meghajtó gyökerébe ment le, Alpha.exe néven
– ennek az állománynak a lefutását követően bejegyzésre kerül a Wh=Yes érték a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Internet Explorer/Main kulcsba
– az Alpha.exe kiolvassa a felhasználó SMTP-beállításait, majd megnyitja a Windows és az Outlook Address Bookját, s e-mailben továbbítja magát az ezekben megtalálható kontaktok számára
– a féreg írója számára eljuttatja a megszerzett e-mailcímeket



Szólj hozzá!

További Dotkom

Hirdetés

Népszerű

Hirdetés

Technokrata a Facebookon

Hirdetés

IoT-Magazin.hu

Hirdetés

Kütyük

Smart home

Így képzelik el a magyarok az álomotthonukat

2024. március 20. szerda

Office

Foglalj helyet, hogy helyet foglalhass!

2024. március 13. szerda

Smart home

Okoskészülék vagy hagyományos háztartási gép?

2024. február 28. szerda
owlet care babafigyelő

Smart home

OWLET CARE a magyarországi piacon!

2024. február 26. hétfő
Hirdetés

Dotkom

Műszaki-Magazin.hu

Hirdetés