Connect with us

technokrata

Tűzfalakat kicselező féreg

Dotkom

Tűzfalakat kicselező féreg

A Bagz nevű féreg mind a Windows saját, mind az egyéb helyi tűzfalakat igyekszik megkerülni.

A fertőzött levél tulajdonságai

Feladó: [hamis cím]

Tárgy: egy több elemből álló listából válogat, néhány példa:
– Re: User ID Update
– Fwd: Your Funds are Eligible for Withdrawal
– find a solution with this customer
– No Subject
– Re: Help Desk Registration
– failure notice
– Fwd: Password

Tartalom: ugyanaz igaz rá, mint a tárgyra, néhány példa:
Hello,
Sorry, I forgot to attach the new contact information.
Please view the attached (.pdf) contact sheet.
Sincerely,
User

Hello,
I resent this email as attachment because
it was previously blocked by your email filters.
Please read the attachment and respond.
Thanks,
User

Hello,
I was in a hurry and I forgot to attach an important
document. Please see attached.
Best Regards,
User

Hello,
Your email was received.
YOUR REPLY IS URGENT!
Please view the attached text file for instructions.
Regards,
User

Csatolmány: vagy egy kettős kiterjesztéssel (.doc[sok szóköz].exe) vagy pedig ZIP formátumban érkezhet a fertőzött állomány, melynek neve olyan egyszerű szavakból kerülhet ki, mint az alábbiak:
– read
– readme
– contact
– mail
– att
– warning
– db
– msg
– message
– messages
– archive
– arch
– support
– account

A féreg paraméterei

Felfedezésének ideje: 2004. október 4.
Utolsó frissítés ideje: 2004. október 4.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nem ismert
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza önmaga másolatát a System mappában tutorial.doc[számos szóköz].exe néven
– hozzáadja a syslogin.exe=syslogin.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz, így a Windows minden egyes indulásakor betöltődik a memóriába
– a System könyvtárban létrehozza a dl.exe és a syslogin.exe nevű file-okat
– letiltja a Windows tűzfalát
– távolról letölt és futtat állományokat
– feltelepíti saját hálózati meghajtóját annak érdekében, hogy kikerülhesse a helyi tűzfalakat
– e-mailcímeket gyűjt a következő kiterjesztéssel bíró állományokból: .txt, .htm, .dbx, .tbi, .tbb
– ezekre a címekre aztán továbbítja önmagát



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek