Connect with us

technokrata

Weboldalakat elérhetetlenné tevő féreg

Dotkom

Weboldalakat elérhetetlenné tevő féreg

A Funner nevű féreg több tucat weboldalt tesz elérhetetlenné a rendszerállományok egyikén végzett módosítással.

A féreg paraméterei

Felfedezésének ideje: 2004. október 11.
Utolsó frissítés ideje: 2004. október 13.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 56.320 byte, 312.832 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– bemásolja önmagát a System könyvtárba IEXPLORE.EXE, EXPLORE.EXE és userinit32.exe; a Windows mappába rundll32.exe, illetve a C meghajtó gyökerébe funny.exe néven; ezek közül néhány file-t el is indít
– létrehozza a System könyvtárban a bsfirst2.log naplóállományt
– hozzáadja a Userinit=userinit32.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon Registry kulcshoz
– hozzáadja az MMSystem=[Windows elérési útvonala]/rundll32.exe [System elérési útvonala]/mmsystem.dll, RunDll32 bejegyzést a következő kulcsok valamelyikéhez:
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
– hozzáadhatja a Shell = [System elérési útvonala]/explore.exe sort a system.ini file [boot] részéhez
– a Windows Messengerben található kontaktok számára megkísérli elküldeni a gyökérbe felmásolt funny.exe file-t
– felveheti a kapcsolatot a www.78p.com URL-lel, ahonnan különböző összetevőket tölthet le
– a Hosts file-ban rengeteg domainnév (köztük sok kínai) elérését hozzáköti egy külső IP-címhez, ezáltal az oldalakat elérhetetlenné téve az adott rendszeren; a kívánt URL begépelésekor mindig ugyanaz a website fog megjelenni



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek