Connect with us

technokrata

Antivírus szoftvereket ˝kigyomláló˝ féreg jelent meg

Dotkom

Antivírus szoftvereket ˝kigyomláló˝ féreg jelent meg

A Bagz nevű digitális kártevő legújabb variánsa a rendszerleíró adatbázisból képes kipucolni a feltelepített antivírus program(ok) bejegyzéseit (is).

A fertőzött levél tulajdonságai

Feladó: [hamis cím]

Tárgy: egy több elemből álló listából válogat, néhány példa:
– ASAP
– please responce
– Money
– office
– Have a nice day
– Hello

Tartalom: ugyanaz igaz rá, mint a tárgyra, néhány példa:
Hi
Did you get the previous document I attached for you?
I resent it in this email just in case, because I
really need you to check it out asap.
Best Regards

Hi
I made a mistake and forgot to click attach
on the previous email I sent you. Please give me
your opinion on this opportunity when you get a chance.
Best Regards

Hi
I was supposed to send you this document yesterday.
Sorry for the delay, please forward this to your family if possible.
It contains important info for both of you.
Best Regards

Hi
Sorry, I forgot to send an important
document to you in that last email. I had an important phone call.
Please checkout attached doc file when you have a moment.
Best Regards

Csatolmány: vagy egy kettős kiterjesztéssel (.doc[sok szóköz].exe) vagy pedig ZIP formátumban érkezhet a fertőzött állomány, melynek neve olyan egyszerű szavakból kerülhet ki, mint az alábbiak:
– backup
– admin
– archivator
– about
– readme
– help
– photos
– payment

A féreg paraméterei

Felfedezésének ideje: 2004. október 27.
Utolsó frissítés ideje: 2004. október 27.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 70.146 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza önmaga másolatait a System mappában SQLSSL.DOC[számos szóköz].EXE, SYSINFO32.EXE, TRACE32.EXE néven
– megalkotja a HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/ALEXORA kulcsot
– létrehozza a következő service-t:
Megjelenített név: Windows Secure SSL
Elérési útvonal: [System elérési útvonala]/TRACE32.EXE
Leírás: This service implements the secure hypertext transfer protocol (HTTPS) for the HTTP service
– a System32 mappában található hosts állományban számos webcímhez a local loopback (127.0.0.1) IP-címet rögzíti, ezáltal elérhetetlenné téve őket (így akadályozva meg például az antivírus szoftverek automatikus frissítését)
– e-mailcímeket gyűjt a következő kiterjesztéssel bíró állományokból: .txt, .htm, .dbx, .tbi, .tbb
– ezekre a címekre saját SMTP-motorja révén továbbítja önmagát
– átnézi az alábbi Registry kulcsokat és alkulcsaikat, majd onnan számos, főként antivírus termékekre vonatkozó bejegyzést eltávolít:
. HKEY_CLASSES_ROOT
. HKEY_CURRENT_USER
. HKEY_LOCAL_MACHINE
. HKEY_USERS
. HKEY_CURRENT_CONFIG

Tovább


Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek