Connect with us

technokrata

Két új változat a Beagle féregből

Dotkom

Két új változat a Beagle féregből

A spammerekkel való összefogás és a Netsky legyőzése vezette a féreg alkotóját kártevője létrehozásában.

A fertőzőtt e-mail jellemzői

Feladó: hamis e-mail cím

Tárgy: egy előre elkészített listából válogat, néhány példa:
. Changes..
. Encrypted document
. Fax Message
. Forum notify
. Incoming message
. Notification
. Protected message
. Re: Document
. Re: Hello
. Re: Hi
. Re: Incoming Message

Tartalom: a következők valamelyike:
. Attach tells everything.
. Attached file tells everything.
. Check attached file for details.
. Check attached file.
. Here is the file.
. Message is in attach
. More info is in attach
. Pay attention at the attach.
. Please, have a look at the attached file.
. Please, read the document.
. Read the attach.
. See attach.
. See the attached file for details.
. Your document is attached.
. Your file is attached.

Csatolmánynév:
. Information
. Details
. text_document
. Updates
. Readme
. Document
. Info
. MoreInfo
. Message

Csatolmány kiterjesztés: .hta, .vbs, .exe, .scr, .com, .cpl, .zip

A féreg paraméterei

Felfedezésének ideje: 2004. július 4.
Utolsó frissítés ideje: 2004. július 5.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 62 Kbyte (Y variáns), 67 Kbyte (Z variáns)
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

A Z változat abban különbözik az Y-tól, hogy magában foglalja a féreg forráskódját is.

Aktiválódása esetén lezajló események

– megjeleníti a jobboldalt látható ál-hibaüzenetet
– hét mutexet hoz létre, melyek megakadályozzák az egyes Netsky változatok memóriába való betöltődését:
. MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
. ´D´r´o´p´p´e´d´S´k´y´N´e´t´
. -oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
. [SkyNet.cz]SystemsMutex
. AdmSkynetJklS003
. _—>>>>U<<<<--____
. _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
– letörli a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run és a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsokból az összes olyan bejegyzést, melyben megtalálható az alábbi stringek valamelyike:
. My AV
. Zone Labs Client Ex
. 9XHtProtect
. Antivirus
. Special Firewall Service
. service
. Tiny AV
. ICQNet
. HtProtect
. NetDy
. Jammer2nd
. FirewallSvr
. MsInfo
. SysMonXP
. EasyAV
. PandaAVEngine
. Norton Antivirus AV
. KasperskyAVEng
. SkynetsRevenge
. ICQ Net
– létrehozza a cplstub.exe file-t a Windows könyvtárában, és a következő állományokat a System mappában:
. loader_name.exe
. loader_name.exeopen
. loader_name.exeopenopen
– hozzáadja a reg_key=[System elérési útvonala]/loader_name.exe bejegyzést a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– hátsó kaput nyit a fertőzött rendszeren az 1234-es TCP port kinyitásával, így a számítógép e-mail relay-ként viselkedhet
– megkísérli elhelyezni önmaga másolatát minden olyan mappába, melynek neve tartalmazza a shar stringet; a file-ok a következő néven szerepelhetnek:
. Microsoft Office 2003 Crack, Working!.exe
. Microsoft Windows XP, WinXP Crack, working Keygen.exe
. Microsoft Office XP working Crack, Keygen.exe
. Porno, sex, oral, anal cool, awesome!!.exe
. Porno Screensaver.scr
. Serials.txt.exe
. KAV 5.0
. Kaspersky Antivirus 5.0
. Porno pics arhive, xxx.exe
. Windows Sourcecode update.doc.exe
. Ahead Nero 7.exe
. Windown Longhorn Beta Leak.exe
. Opera 8 New!.exe
. XXX hardcore images.exe
. WinAmp 6 New!.exe
. WinAmp 5 Pro Keygen Crack Update.exe
. Adobe Photoshop 9 full.exe
. Matrix 3 Revolution English Subtitles.exe
. ACDSee 9.exe
– e-mailcímek után kutat, majd a megtalált kontaktok számára továbbítja magát saját SMTP-motorja révén

Tovább
Kapcsolódó cikkek


Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek