Connect with us

technokrata

Webről levadászott e-mailcímeken terjedő féregvírus

Dotkom

Webről levadászott e-mailcímeken terjedő féregvírus

A Yahoo segítségével keres e-mail címek után az Evaman féreg, így terjedésének az sem szabhat gátat, ha az adott felhasználó nem rendelkezik címlistával.

A fertőzőtt e-mail jellemzői

Tárgy: a következők valamelyike:
– Delivery Status (Failure)
– failed transaction
– failure delivery
– mail failure
– returned mail
– server error

Tartalom: az alábbiak közül egy:
This is an automatically generated Delivery Status Notification.
Delivery to last recipient failed.
Email returned as attachment text file.

Message from Mail Delivery Server.
Unable to deliver message to last recipient.
Email returned as text file.

Email returned by the server as ASCII Text mail file.
To read the email download the included attachment.

Mail Server Notice:
Last email sent could not reach intented destination.
Email returned as ASCII text file.

The last email sent by this account could not reach intended destination.
Email has been returned as text file attachment.

Mail Delivery Status Notification:
Message returned by server. Message returned as text file attachment.

Csatolmány: egy, a következő kiterjesztések valamelyikével rendelkező állomány:
– scr
– txt.scr
– html.scr
– outlook.scrtxt.exe

A féreg paraméterei

Felfedezésének ideje: 2004. július 3.
Utolsó frissítés ideje: 2004. július 3.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 14.848 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– első futásakor elindíthatja a Notepad.exe-t
– létrehozza a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Wintasks Registry kulcsot
– felmásolja magát a System mappába wintasks.exe néven
– hozzáadja a wintasks.exe=[System elérési útvonala]/wintasks.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– a következő, a féregben lekódolt szerverlistában tárolt címekhez megpróbál kapcsolódni:
. smtp.rcn.com
. outgoing.verizon.net
. smtp.comcast.net
. mail.mindspring.com
. smtp.email.msn.com
. smtpauth.earthlink.net
. smtp-server.nc.rr.com
. smtp1.attglobal.net
. mailhost.att.net
. mail.optonline.net
. mail.peoplepc.com
. smtpout.bellatlantic.net
. mail.verio.net
. smtp.netzero.net
. smtp.prodigy.net
– azt fogja használni, amelyik elsőként működőképesnek bizonyul; ha egyiket sem éri el, akkor a Registry-ből (HKEY_CURRENT_USER/Software/Microsoft/Internet Account Manager/Accounts/SMTP Server) keríti elő az adott számítógép által használt levelezőszerver elérhetőségét
– véletlenszerű kéréseket intéz az email.people.yahoo.com számára, majd összegyűjti a keresés eredményeként elérhetővé vált e-mail címeket
– meghamisított feladóval minden, a fenti módszerrel begyűjtött címre továbbítja magát a korábban ismertetett karakterisztikában

Tovább
Kapcsolódó cikkek


Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek