Connect with us

technokrata

Csatolmány nélkül fertőző e-mailféreg

Dotkom

Csatolmány nélkül fertőző e-mailféreg

Voltaképp szinte semmit sem tárol a megtámadott rendszeren az Envid féreg B változata, a működéséhez szükséges adatok nagy részét egy weboldalról tölti le.

A féreg paraméterei

Felfedezésének ideje: 2004. december 16.
Utolsó frissítés ideje: 2004. december 17.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 36.864 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– létrehozza a Windows könyvtárban a VMSNGRABER.EXE állományt
– hozzáadja a vmsnGraber=[Windows elérési útvonala]/VMSNGRABER.EXE bejegyzést az alábbi Registry kulcsokhoz:
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
– a megtámadott számítógép védettségét csökkenti az alábbi process-ek leállításával (ha azok futnak):
. APLICA32.EXE
. CFIADMIN.EXE
. CFIAUDIT.EXE
. CFINET32.EXE
. CFINET.EXE
. IAMSERV.EXE
. IAMAPP.EXE
. PCFWallIcon.EXE
. WEBSCANX.EXE
. AVCONSOL.EXE
. VSSTAT.EXE
. NAVAPW32.EXE
. NAVW32.EXE
. NMain.exe
. SAVSCAN.EXE
. NAVAPSVC.EXE
. NISUM.EXE
. _AVPM.EXE
. AVPM.EXE
. LOCKDOWN2000.EXE
. TDS2-98.EXE
. SAFEWEB.EXE
– minden e-mailcímre továbbítja magát, melyet az Outlook Address Bookjában megtalál
– az elküldött e-mail nem tartalmaz csatolmányt, viszont magában foglalja egy weblap linkjét; a tárgyat és a tartalmat a geocities.yahoo.com.br egyik oldaláról szedi le



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek