Connect with us

technokrata

Új változat a magyar féregvírusból

Dotkom

Új változat a magyar féregvírusból

A pár hónapja elterjed Zafi féreg új példánya bukkant fel az Interneten.

I-Worm.Zafi.B egy e-mailben és file-megosztásokon terjedő féregprogram. A fertőzött levél több nyelven jelenhet meg (magyar, angol, német és egyéb nyelveken). A file-melléklet neve (anita.image043.jpg.pif, meztelen csajok fociznak.flash.jpg.pif , regiszt.php?3124freesms.index777.pif) hasonlóan a Zafi.A variánsnál, megtévesztő.

– futása során lemásolja magát a System mappába véletlenszerű néven .exe és .dll kiterjesztéssel
– ugyanitt létrehoz még .dll kiterjesztésű file-okat szintén véletlenszerű neveken, melyek a vírus tevékenységekhez szükségesek
– létrehozza a _Hazafibb-=[System elérési útvonala]/[létrehozott exe file neve] bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcsban
– létrehozza a HKEY_LOCAL_MACHINE/Software/Microsoft/_Hazafibb regisztrációs kulcsot, mely alatt a segédbejegyzéseit tárolja
– végignézi a mappákat, ha szerepel benne a „share” vagy „upload” sztring, akkor lemásolja magát oda, a következő nevek egyikén: winamp 7.0 full_install.exe, Total Commander 7.0 full_install.exe
– bizonyos antivírus és tűzfal termékek futását leállítja, illetve a mappájában levő programfile-okat lecserélheti saját magára
– a fertőzött levél elküldéséhez e-mailcímeket keres a .htm, .wab, .txt, .dbx, .tbb, .asp, .php, .sht, .adb, .mbx, .eml és .pmr kiterjesztésű állományokban

A vírus eltávolítása a fertőzött állományok törlésével, illetve a módosított regisztrációs adatbázis bejegyzések helyreállításával lehetséges. A VirusBuster programok a férget a 7.1001-es adatbázis verziótól ismerik fel.



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek