Connect with us

technokrata

Duplán fertőz a Mugly féreg

Dotkom

Duplán fertőz a Mugly féreg

Egy másik digitális kártevőt “cipel” magában a Mugly féreg B változata.

A fertőzött levél tulajdonságai

Feladó: hamis e-mailcím

Tárgy: az alábbiak közül egy:
– Hhahahah lol!!!!
– Your Pic On A Website!!
– Rate My Pic…….
– You have an Admirer

Tartalom: a következő szövegek egyike:
i found this on my computer from ages ago
download it and see if you can remember it
lol i was lauging like mad when i saw it! 😀
email me back haha…

I was looking at a website and came across
this pic they look just like you! infact im sure
is it someonce else :S ? Ive Added the pic in
a zip so download it and check & email me back!

Hi ive sent 5 emails now and nobody will rate
my pic!! 🙁 please download and tell me what you
think out of 10 , dont worry if you dont like it
just say i wont be offended p.s i was drunk when
it was taken 😛

Someone has asked us on there behalf to send
you this email and tell you they think you are
wonderfull!!! All the The mystery persons details
you need are enclosed in the attachment 🙂
please download and respond telling us if you
would like to make further contact with this
person.

Regards Hallmark Admirer Mail Admin.

Csatolmány: attachment.zip, mely a lenti állományok egyikét tartalmazza:
– Pic_001.exe
– Photo_01.pif
– admire_001.exe
– is_this_you.scr
– love_04.scr
– for_you.pif
– Sexy_04.scr
– Sexy_09.scr

A féreg paraméterei

Felfedezésének ideje: 2004. november 30.
Utolsó frissítés ideje: 2004. december 1.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 423.814 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba xxz.tmp néven
– létrehozza ugyanitt a következő állományokat:
. attached.zip: a féreg tömörített formája
. winit.exe: a W32.Spybot.Worm csak olvasható, rejtett és rendszer attributumokkal ellátott állománya
. uglym.jpg
. ANSMTP.DLL: egy nem fertőző ActiveX e-mailmotor
. bszip.dll: egy nem fertőző tömörítőmotor
. SVKP.sys
– megnyit egy böngészőablakot, hogy megjelenítse az uglym.jpg képet
– e-mailcímek után keres bizonyos kiterjesztéssel rendelkező állományokban
– az ANSMTP.DLL segítségével elküldi magát minden megtalált címre, kivéve néhány antivírus cég domainjével rendelkező e-mailcímet

W32.Spybot.Worm futása

– hozzáadja a virtual=winit.exe bejegyzést a HKEY_CURRENT_USER/Software/Microsoft/OLE, a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run és a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices Registry kulcsokhoz
– letiltja a DCOM használatát a következő Registry kulcs módosításával: HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/OLE/”EnableDCOM”=N
– létrehozza az alábbi service-t: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/SVKP
– további backdoor funkciókra is képes lehet a windowss.serveftp.com-on található egy bizonyos csatornához való csatlakozással; itt alkotójától érkező parancsokra vár
– megkísérli bemásolni magát az ADMIN$, IPC$, C$ és D$ megosztásokba gyenge jelszavak próbálgatásával
– a következő sebezhetőségek kihasználásával igyekszik szaporodni:
. Workstation Service Buffer Overrun Vulnerability
. DCOM RPC Vulnerability
. sérülékenységek a Microsoft SQL Server 2000 vagy MSDE 2000 auditban
. Windows Local Security Authority Service Remote Buffer Overflow



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek