Connect with us

Máris mutálódott a tűzfalakat kicselező féreg

Dotkom

Máris mutálódott a tűzfalakat kicselező féreg

Alig pár nappal első megjelenését követően máris újabb változatot fedeztek fel a Bagz nevű féregből.

A fertőzött levél tulajdonságai

Feladó: [hamis cím]

Tárgy: egy több elemből álló listából válogat, néhány példa:
– Re: User ID Update
– Fwd: Your Funds are Eligible for Withdrawal
– find a solution with this customer
– No Subject
– Re: Help Desk Registration
– failure notice
– Fwd: Password

Tartalom: ugyanaz igaz rá, mint a tárgyra, néhány példa:
Hello,
Sorry, I forgot to attach the new contact information.
Please view the attached (.pdf) contact sheet.
Sincerely,
User

Hello,
I resent this email as attachment because
it was previously blocked by your email filters.
Please read the attachment and respond.
Thanks,
User

Hello,
I was in a hurry and I forgot to attach an important
document. Please see attached.
Best Regards,
User

Hello,
Your email was received.
YOUR REPLY IS URGENT!
Please view the attached text file for instructions.
Regards,
User

Csatolmány: vagy egy kettős kiterjesztéssel (.doc[sok szóköz].exe) vagy pedig ZIP formátumban érkezhet a fertőzött állomány, melynek neve olyan egyszerű szavakból kerülhet ki, mint az alábbiak:
– read
– readme
– contact
– mail
– att
– warning
– db
– msg
– message
– messages
– archive
– arch
– support
– account

A féreg paraméterei

Felfedezésének ideje: 2004. október 5.
Utolsó frissítés ideje: 2004. október 7.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 253.954 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza önmaga másolatát a System mappában tutorial.doc[számos szóköz].exe néven
– hozzáadja a syslogin.exe=syslogin.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz, így a Windows minden egyes indulásakor betöltődik a memóriába
– a System könyvtárban létrehozza a dl.exe, a syslogin.exe, a tutorial.doc[szóközök].exe és a tutorial.zip nevű file-okat
– letiltja a Windows tűzfalát a következő paranccsal: netsh firewall ipv4 set opmode | mode=disable
– távolról letölt és futtat állományokat
– feltelepíti saját hálózati meghajtójáprogramját a System könyvtárba annak érdekében, hogy kikerülhesse a helyi tűzfalakat:
. drivers/ndisrd.sys
. ndisrd.sys
. ndisapi.dll
– létrehozza a következő bejegyzést:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NDISRD
– e-mailcímeket gyűjt a következő kiterjesztéssel bíró állományokból: .txt, .htm, .dbx, .tbi, .tbb
– a fenti információkat, a fertőzött számítógép IP-címét és gateway-ének elérhetőségét szintén a System mappában tárolja, a következő állományokban: jobdb.dll, ipdb.dll, wdate.dll
– ezekre a címekre aztán továbbítja önmagát



Szólj hozzá!

További Dotkom

Népszerű

Hirdetés

Technokrata a Facebookon

Hirdetés

Kütyük

mobilfoto_kiallitas_budapest_19

Esemény

Mobilfotó-kiállítás perui portrékból

2019. augusztus 19. hétfő
casio Gravitiymaster

Kütyük

A 72 grammos Gravitymaster

2019. augusztus 19. hétfő
Honor20Pro
LG IFA díjnyertes termékek 2019

Kütyük

2019-2020 legjobb prémium OLED TV-je

2019. augusztus 18. vasárnap
mr-george-zhao-president-of-honor-at-the-honor-vision-china-launch_web

Smart-TV

A Honor teljesen újraértelmezi a Smart-TV fogalmát

2019. augusztus 17. szombat

Dotkom

YouTube előfizetés

Digitális oktatás

YouTube Music előfizetés diákkedvezménnyel

2019. augusztus 19. hétfő
maxresdefault-1

Dotkom

A Huawei bemutatta saját operációs rendszerét

2019. augusztus 11. vasárnap
maxresdefault

Dotkom

A Vodafone beindította a jövő szenzorhálózatát

2019. augusztus 7. szerda
psd2 blockbenpay
adesso magyar iroda

Dotkom

Képviseletet nyit az adesso Magyarországon

2019. augusztus 5. hétfő