Connect with us

technokrata

Jelszóvédett formában is terjed az új Beagle féregvírus

Dotkom

Jelszóvédett formában is terjed az új Beagle féregvírus

Betömörített állományban, az antivírus alkalmazások kutakodásainak kivédése végett jelszóval védett formában is szaporodhat a Beagle legújabb variánsa.

A fertőzőtt e-mail jellemzői

Feladó: hamis e-mail cím

Tárgy: egy előre elkészített listából válogat, néhány példa:
. Changes..
. Encrypted document
. Fax Message
. Forum notify
. Incoming message
. Notification
. Protected message
. Re: Document
. Re: Hello
. Re: Hi
. Re: Incoming Message

Tartalom: ha a csatolmány ZIP file, a következők egyike:
. For security reasons attached file is password protected. The password is
. For security purposes the attached file is password protected. Password —
. Note: Use password
. Attached file is protected with the password for security reasons. Password is
. In order to read the attach you have to use the following password:
. Archive password:
. Password
. Password:

Ellenkező esetben az alábbiak közül egy:
. Read the attach.
. Your file is attached.
. More info is in attach
. See attach.
. Please, have a look at the attached file.
. Your document is attached.
. Please, read the document.
. Attach tells everything.
. Attached file tells everything.
. Check attached file for details.
. Check attached file.
. Pay attention at the attach.
. See the attached file for details.
. Message is in attach
. Here is the file.

Csatolmánynév:
. Information
. Details
. text_document
. Updates
. Readme
. Document
. Info
. MoreInfo
. Message

Csatolmány kiterjesztés:

A féreg paraméterei

Felfedezésének ideje: 2004. július 17.
Utolsó frissítés ideje: 2004. július 19.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 25.764 byte, 21.501 byte
Fertőzések száma: 50-999
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– letörli a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run és a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsokból az alábbi értékeket (ha azok ott léteznek):
. My AV
. Zone Labs Client Ex
. 9XHtProtect
. Antivirus
. Special Firewall Service
. service
. Tiny AV
. ICQNet
. HtProtect
. NetDy
. Jammer2nd
. FirewallSvr
. MsInfo
. SysMonXP
. EasyAV
. PandaAVEngine
. Norton Antivirus AV
. KasperskyAVEng
. SkynetsRevenge
. ICQ Net
– létrehozza a következő állományokat a System könyvtárban (melyek a féreg egy-egy másolatát tartalmazzák):
sys_xp.exe
sys_xp.exeopen
sys_xp.exeopenopen
– ugyanitt létrehozza a sys_xp.exeopenopen file-t, ami vagy ZIP vagy CPL formátumú lehet
. ha .zip kiterjesztésű, akkor két véletlenszerűen elnevezett állományt tartalmaz (az egyik egy .exe, a másik egy szöveges file lesz, .sys, .dat, .idx, .vxd, .vid, vagy .dll kiterjesztéssel)
. amennyiben .cpl kiterjesztésű, akkor ha ez lefuttatásra kerül, létrehozza a cplstub.exe állományt a Windows könyvtárban
– létrehozza a key=[System elérési útvonala]/sys_xp.exe bejegyzést a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run kulcsban, így a féreg minden Windows bootoláskor elindul
– hátsó kaput hoz létre a rendszeren a 1080-as TCP port megnyitásával, így a fertőzött számítógép később e-mail relay-ként használható
– számos, előre meghatározott domainnael megpróbálja felvenni a kapcsolatot egy .php script elérése érdekében
– leállítja a rendszerre telepített behatolsávédelmi szoftverek futó process-eit
– megkísérel önmagáról másolatokat létrehozni minden olyan könyvtárba, amelyiknek a neve tartalmazza a shar sztringet; ehhez az alábbi, figyelemfelkeltő nevek közül válogat:
. ACDSee 9.exe
. Adobe Photoshop 9 full.exe
. Ahead Nero 7.exe
. Kaspersky Antivirus 5.0
. KAV 5.0
. Matrix 3 Revolution English Subtitles.exe
. Microsoft Office 2003 Crack, Working!.exe
. Microsoft Office XP working Crack, Keygen.exe
. Microsoft Windows XP, WinXP Crack, working Keygen.exe
. Opera 8 New!.exe
. Porno pics arhive, xxx.exe
. Porno Screensaver.scr
. Porno, sex, oral, anal cool, awesome!!.exe
. Serials.txt.exe
. WinAmp 5 Pro Keygen Crack Update.exe
. WinAmp 6 New!.exe
. Windown Longhorn Beta Leak.exe
. Windows Sourcecode update.doc.exe
. XXX hardcore images.exe
– e-mailcímeket keres különböző állományokban, majd saját SMTP-motorja révén minden kontakt számára továbbítja magát



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek