Connect with us

technokrata

A beérkező levelekre válaszolgat a féreg

Dotkom

A beérkező levelekre válaszolgat a féreg

A Lovgate Y változata a bejövő e-mailekre válaszolva terjeszti el magát.

A fertőzött e-mail jellemzői

A megtalált e-mailcímekre küldi el magát a féreg, illetve a bejövő üzenetekre is válaszol. Ennek következtében két változata lehet a fertőzött levélnek.

I. változat

Tárgy: az alábbiak egyike:
– test
– hi
– hello
– Mail Delivery System
– Mail Transaction Failed
– Server Report
– Status
– Error

Tartalom: a következőkből egy:
– pass
– Mail failed. For further assistance, please contact!
– The message contains Unicode characters and has been sent as a binary attachment.
– It´s the long-awaited film version of the Broadway hit. The message sent as a binary attachment.

Csatolmány: .bat, .cmd, .exe, .pif vagy .scr kiterjesztéssel bír, neve pedig a következők valamelyike:
– document
– readme
– doc
– text
– file
– data
– test
– message
– body

II. változat

Tárgy: Re: [az eredeti levél tárgya]

Címzett: [feladó e-mailcíme]

Tartalom:
´[feladó]´ wrote:
====
> [az eredeti üzenet tartalma]
>
====

[küldő domainje] account auto-reply:

Ezt a következő sorok valamelyike követi:
– If you can keep your head when all about you
– Are losing theirs and blaming it on you;
– If you can trust yourself when all men doubt you,
– But make allowance for their doubting too;
– If you can wait and not be tired by waiting,
– Or, being lied about,don´t deal in lies,
– Or, being hated, don´t give way to hating,
– And yet don´t look too good, nor talk too wise;
– … … more look to the attachment.

> Get your FREE [küldő domainje] account now! < Csatolmány: a következők valamelyike:
– the hardcore game-.pif
– Sex in Office.rm.scr
– Deutsch BloodPatch!.exe
– s3msong.MP3.pif
– Me_nude.AVI.pif
– How to Crack all gamez.exe
– Macromedia Flash.scr
– SETUP.EXE
– Shakira.zip.exe
– dreamweaver MX (crack).exe
– StarWars2 – CloneAttack.rm.scr
– Industry Giant II.exe
– DSL Modem Uncapper.rar.exe
– joke.pif
– Britney spears nude.exe.txt.exe
– I am For u.doc.exe

A féreg paraméterei

Felfedezésének ideje: 2004. július 1.
Utolsó frissítés ideje: 2004. július 2.
Veszélyeztetett rendszerek: Windows NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x/9x/Me, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 152.064 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba a következő neveken, rejtett, rendszer és csak olvasható attributummal:
. Systra.exe
. iexplore.exe
. RAVMOND.exe
. Kernel66.dll
. WinHelp.exe; illetve Systra.exe néven a Windows mappába
– felmásolja az alábbi file-okat ugyanide; ezek a féreg trójai komponensei (mindegyik mérete 53.760 byte):
. ODBC16.dll
. msjdbc11.dll
. MSSIGN30.DLL
– hozzáadja a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices Registry kulcshoz a következő bejegyzéseket:
. Program in Windows=[System elérési útvonala]/iexplore.exe
. Protected Storage=RUNDLL32.exe MSSIGN30.DLL ondll_reg
. VFW Encoder/Decoder Settings=RUNDLL32.exe MSSIGN30.DLL ondll_reg
. WinHelp=[System elérési útvonala]/WinHelp.exe
. Hardware Profile=[System elérési útvonala]/hxdef.exe…
. Program in Windows=[System elérési útvonala]/IEXPLORE.exe
. Microsoft NetMeeting Associates, Inc.=NetMeeting.exe
. Shell Extension=[System elérési útvonala]/spollsv.exe
– hozzáadja a SystemTra=[Windows elérési útvonala]/SysTra.exe és a COM++ System=svchost.exe… bejegyzéseket a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices Registry kulcshoz
– hozzáadja a run=RAVMOND.exe bejegyzést a HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows/ Registry kulcshoz
– módosítja Windows 9x/Me alatt a Win.ini állomány [windows] részét a következő sor hozzáadásával: run=RAVMOND.exe
– létrehoz egy Media nevű hálózati megosztást, amely a Windows/Media könyvtárra mutat
– létrehozza az Autorun.inf állományt az összes meghajtó gyökérkönyvtárában (természetesen kivéve az optikai drive-okat)
– felmásolja magát Command.exe néven a fenti mappákba
– létrehoz egy ZIP vagy RAR kiterjesztésű tömörített állományt (WORK, setup, Important, bak, letter, pass), mely a férget tartalmazza becsomagolt módon
– létrehoz egy Windows Management Protocol v.0 (experimental) service-t, ami a következőre mutat: Rundll32.exe msjdbc11.dll ondll_server
– létrehozza a _reg service-t, ami a következőre mutat: Rundll32.exe msjdbc11.dll ondll_server
– leállítja az összes olyan futó process-t, amely a következő sztringek bármelyikét is tartalmazza: KV,
KAV, Duba, NAV, kill, RavMon.exe, Rfw.exe, Gate, McAfee, Symantec, SkyNet, rising
– átnézi az összes meghajtót C-től Z-ig, melyeken az összes .exe állomány kiterjesztését megváltoztatja .zmx-re, majd rejtett és system attributmot ad nekik; ezt követően az eredeti file-néven saját magát másolja be az adott mappákba
– beilleszt egy process-figyelő rutint vagy az Explorer.exe állományba vagy a Taskmgr.exe file-ba; ennek értelme, hogy ha a féreg futó process-e leállításra kerülne, akkor újraindítsa azt
– a 6000-es porton keresztül futtatja backdoor rutinját, mely ellopja a kiszolgáltatott rendszer információit és a C meghajtó gyökerében levő Netlog.txt állományban tárolja, majd e-mailben továbbítja alkotójának
– minden hálózati megosztásba felmásolja magát különböző, figyelemfelkeltő neveken
– a rendszerleíró adatbázisban megkeresi a Kazaa megosztott könyvtárának a helyét, majd bemásolja oda magát a következő nevek egyikét használva (.bat, .exe, .pif vagy .scr kiterjesztéssel):
. wrar320sc
. REALONE
. BlackIcePCPSetup_creak
. Passware5.3
. word_pass_creak
. HEROSOFT
. orcard_original_creak
. rainbowcrack-1.1-win
. W32Dasm
. setup
. [véletlenszerű file-név]
– megkísérel minden számítógépre bejelentkezni, amelyik a helyi hálózatban található; ehhez az Administrator felhasználónevet és a következő jelszavakat használja:
Guest
Administrator
zxcv
yxcv
xxx
win
test123
test
temp123
temp
sybase
super
sex
secret
pwd
pw123
Password
owner
oracle
mypc123
mypc
mypass123
mypass
love
login
Login
Internet
home
godblessyou
god
enable
database
computer
alpha
admin123
Admin
abcd
aaa
88888888
2600
2003
2002
123asd
123abc
123456789
1234567
123123
121212
11111111
110
007
00000000
000000
pass
54321
12345
password
passwd
server
sql
!@#$%^&*
!@#$%^&
!@#$%^
!@#$%
asdfgh
asdf
!@#$
1234
111
root
abc123
12345678
abcdefg
abcdef
abc
888888
666666
111111
admin
administrator
guest
654321
123456
321
123
– amennyiben sikeresen be tudott jelentkezni, felmásolja magát a következőképp: //[távoli számítógép neve]/admin$/system32/NetManager32.exe; majd Windows Management NetWork Service Extension néven, service-ként futtatja ezt az állományt
– minden .txt, .pl, .wab, .adb, .tbb, .dbx, .asp, .php, .sht és .htm kiterjesztéssel bíró file-ból kiszedi az e-mailcímeket, melyek a következő helyeken találhatók:
. [Windows elérési útvonala]/Local Settings
. /Documents and Settings/[bejelentkezett felhasználó]/local settings
. Temporary Internet Files folder
– begyűjti a kontaktok elérhetőségét a Windows Address Bookjából is
– saját SMTP-motorja révén fertőzött leveleket küld az összegyűjtött címekre
– az Outlook Inboxában levő levelekre válaszol

Tovább
Kapcsolódó cikkek


Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek