Connect with us

technokrata

Vírusirtó szoftverek működését ellehetetlenítő féreg

Dotkom

Vírusirtó szoftverek működését ellehetetlenítő féreg

˝Már tegnap át kellett volna küldenem ezt a dokumentumot; elnézést a késlekedésért.˝ – próbálja becsapni a Bagz H változata az angolul értő internetezőket.

A fertőzött levél tulajdonságai

Feladó: [hamis cím]

Tárgy: egy több elemből álló listából válogat, néhány példa:
– ASAP
– please responce
– Money
– office
– Have a nice day
– Hello

Tartalom: ugyanaz igaz rá, mint a tárgyra, néhány példa:
Hi
Did you get the previous document I attached for you?
I resent it in this email just in case, because I
really need you to check it out asap.
Best Regards

Hi
I made a mistake and forgot to click attach
on the previous email I sent you. Please give me
your opinion on this opportunity when you get a chance.
Best Regards

Hi
I was supposed to send you this document yesterday.
Sorry for the delay, please forward this to your family if possible.
It contains important info for both of you.
Best Regards

Hi
I was in a rush and I forgot to attach an important
document. Please see attached doc file.
Best Regards

Csatolmány: vagy egy kettős kiterjesztéssel (.doc[sok szóköz].exe) vagy pedig ZIP formátumban érkezhet a fertőzött állomány, melynek neve olyan egyszerű szavakból kerülhet ki, mint az alábbiak:
– backup
– admin
– archivator
– about
– readme
– help
– photos
– payment

A féreg paraméterei

Felfedezésének ideje: 2004. november 2.
Utolsó frissítés ideje: 2004. november 2.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 166.913 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza önmaga másolatait a System mappában SQLSSL.DOC[számos szóköz].EXE, SYSINFO32.EXE, TRACE32.EXE néven
– megalkotja a HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Xuy v palto kulcsot
– létrehozza a következő service-t:
Megjelenített név: Windows Secure SSL
Elérési útvonal: [System elérési útvonala]/TRACE32.EXE
Leírás: This service implements the secure hypertext transfer protocol (HTTPS) for the HTTP service
– a System32 mappában található hosts állományban számos webcímhez a local loopback (127.0.0.1) IP-címet rögzíti, ezáltal elérhetetlenné téve őket (így akadályozva meg például az antivírus szoftverek automatikus frissítését)
– e-mailcímeket gyűjt a következő kiterjesztéssel bíró állományokból: .txt, .htm, .dbx, .tbi, .tbb
– ezekre a címekre saját SMTP-motorja révén továbbítja önmagát
– átnézi az alábbi Registry kulcsokat és alkulcsaikat, majd onnan számos, főként antivírus termékekre vonatkozó bejegyzést eltávolít:
. HKEY_CLASSES_ROOT
. HKEY_CURRENT_USER
. HKEY_LOCAL_MACHINE
. HKEY_USERS
. HKEY_CURRENT_CONFIG



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek