Connect with us

technokrata

Weblapokat fertőző férgek

Dotkom

Weblapokat fertőző férgek

A Yeno nevű féreg két változata a helyi meghajtón levő HTML és VBS file-okat igyekszik megfertőzni; illetve átállítja az Internet Explorer kezdőlapját is.

A fertőzött e-mail jellemzői

Tárgy: Fw: I give you again
Tartalom: Spidey has give you some password of xxx site
(cute) Spidey
Csatolmány: OXNEY.B.VBS

A féreg paraméterei

Felfedezésének ideje: 2004. november 1.
Utolsó frissítés ideje: 2004. november 2.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nem ismert
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– a B változat megjelenít egy OXNEY.B fejlécű ablakot, melynek szövege: Are you still drunk…???; illetve egy Yes és egy No gomb
– ha a felhasználó a Yes gombra kattint, a féreg bárminemű más cselekvés nélkül kilép
– amennyiben a No gombra kattint a rendszer tulajdonosa, megjelenik a fent látható ablak
– saját attributumát archív, rendszer és rejtett típusúra változatja
– felmásolja magát a System mappába OXNEY.B.VBS vagy OXNEY.C.VBS névvel (a féreg változatától függően)
– létrehozza a HKEY_USERS/.DEFAULT/Software/Microsoft/Windows/CurrentVersion/SPINX Registry kulcsot
– hozzáadja a SPINX= Wscript.exe [System elérési útvonala]/OXNEY.B.VBS % bejegyzést a HKEY_USERS/.DEFAULT/Software/Microsoft/Windows/CurrentVersion/Run kulcshoz
– hozzáadja a Load-Guard=Wscript.exe [Windows elérési útvonala]/LGuarg.exe.vbs % bejegyzést a HKEY_USERS/.DEFAULT/Software/Microsoft/Windows/CurrentVersion/RunServices kulcshoz; illetve a GeneralTab=1 bejegyzést a HKEY_USERS/.DEFAULT/Software/Policies/Microsoft/Internet Explorer/Control Panel kulcshoz
– megváltoztatja az Internet Explorer egyes beállításait a HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main kulcsban levő alábbi bejegyzések módosításával:
. Window Title=Micosoft Internet Explorer Provided by : Spidey
. Start Page=Spidey.uni.cc
– ha tudja, felmásolja magát az A meghajtóra Permohonan Ma´afku.txt.vbs (B változat) vagy I am sorry.txt.vbs (C változat) néven
– HTML file-ok után kutat a C, a D és az E meghajtón, amennyiben talál, megfertőzi olyan módon, hogy azok a következő két file-t elindítsák megnyitásukkor:
. System/OXNEY.B.VBS
. Windows/LGuarg.exe.vbs
– ugyanezeken a drive-okon keres Visual Basic állományok után, ha talál egyet, megfertőzi saját kódjának hozzáfűzésével
– a Microsoft Outlook segítségével elküldi magát minden címre, amit az address bookban talál



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek