Connect with us

technokrata

Újabb Mydoom variáns terjed

Dotkom

Újabb Mydoom variáns terjed

Az igen mutagénnek bizonyult féregből ismét egy újabb változat került fel az Internetre, mely számos weboldalt tesz elérhetetlenné.

A fertőzött e-mail tulajdonságai

Feladó: hamis e-mailcím

Tárgy: egy hosszú listából válogat, néhány példa:
– Attention!!!
– Do not reply to this email
– Error
– Good day
– hello
– Mail Delivery System
– Mail Transaction Failed
– Server Report
– Status

Tartalom: több, előre elkészített szövegből válogat, néhány példa:
The message contains Unicode characters and has been sent as a binary attachment.

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

Mail transaction failed. Partial message is available.

Thank you for registering at WORLDXXXPASS.COM
All your payment info, login and password you can find in the attachment file.
It´s a real good choise to go to WORLDXXXPASS.COM

Csatolmány: .bat, .cmd, .exe, .pif, .scr vagy .zip kiterjesztésű állomány, melynek neve a következők egyike:
– body
– message
– docs
– data
– file
– rules
– doc
– readme
– document

A féreg paraméterei

Felfedezésének ideje: 2004. október 25.
Utolsó frissítés ideje: 2004. október 26.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 31.864 byte (.zip), 31.744 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódásakor bekövetkező események

– létrehozza a System mappában az lsasrv.exe és a version.ini file-okat, illetve a futtatás könyvtárában a hserv.sys-t
– hozzáadja az lsass=[System elérési útvonala]/lsasrv.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– módosítja a HKEY_LOCAL_MACHINE/Software/Mirosoft/Windows NT/CurrentVersion/Winlogon Registry kulcs Shell bejegyzést a következőre: Shell=explorer.exe [System elérési útvonala]/lsasrv.exe
– e-mailcímek után kutat a .wab, .pl, .adb, .tbb, .dbx, .asp, .php, .sht, .htm, .txt kiterjesztésű file-okban
– saját SMTP-motorja révén (kevés kivétellel) minden begyűjtött címre elküldi magát a fent ismertetett karakterisztikában
– felmásolja magát a Kazaa, Morpheus, iMesh, eDonkey, Limeware file-megosztó alkalmazások shared mappáiba, ha azok megtalálhatók a rendszeren; bat, pif, scr vagy exe kiterjesztést kaphatnak ezek az állományok, neveik pedig a következők lehetnek:
. porno
. NeroBROM6.3.1.27
. avpprokey
. Ad-awareref01R349
. winxp_patch
. adultpasswds
. dcom_patches
. K-LiteCodecPack2.34a
. activation_crack
. icq2004-final
. winamp5
– leállítja a rendszerre telepített behatolásvédelmi szoftverek futó process-eit
– a wmspb.net URL-ről letölt egy file-t
– a System/drivers/etc mappában található hosts állományt módosítja, mégpedig oly módon, hogy ismert antivírus termékekkel foglalkozó website-ok URL-je mellé a local loopback IP-címet (127.0.0.1) rögzíti, ezáltal böngészőből helyileg elérhetetlenné téve a webhelyeket



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek