Connect with us

technokrata

Futtatható állományokat fertőző féreg

Dotkom

Futtatható állományokat fertőző féreg

Egy file-fertőző féreg kezdte meg terjedését az elmúlt napokban, mely hálózati megosztások révén terjed.

A féreg paraméterei

Felfedezésének ideje: 2004. december 17.
Utolsó frissítés ideje: 2004. december 19.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 62.976 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– leállítja a Zone Alarm tűzfal működését és a következő process-ek futását:
. Ravmon.exe
. EGHOST.EXE
. MAILMON.EXE
. KAVPFW.EXE
. IPARMOR.EXE
– létrehozza az aktuális futási könyvtárban a virDll.dll file-t
– ezen állományt megkíséri az Internet Explorerbe ˝beinjektálni˝, illetve letölt egy jelszótolvaj programot (1.exe) a www.lookde5.com URL-ről
– EXE állományok után keres az összes merevlemezen, annak érdekében, hogy megfertőzze őket
– a fenti folyamat alól mentesülnek azon EXE file-ok, melyek olyan mappában találhatók, amik a nevükben speciális sztringet tartalmaznak, néhány példa:
. system
. windows
. Documents and Settings
. System Volume Information
. Recycled
. winnt
. Program Files
. WindowsUpdate
. Windows Media Player
. Outlook Express
– további kivételeket jelent az IEXPLORE.EXE és az EXPLORER.EXE állománynevek
– a megfertőzött file-ok 62.976 byte-tal (a féreg méretével) nőnek meg; ezen állományok hasonló ikont kapnak, mint amilyet a ZIP file-ok használnak
– létrehoz önmagáról egy másolatot a Windows könyvtárban, Logo1_.exe névvel
– megkísérel a hálózati megosztások révén szaporodni; azokon a rendszereken jár sikerrel, ahol az adminisztrátori és/vagy a vendég jelszavak üresen vannak hagyva
– Hello,World sztringet tartalmazó ICMP forgalmat bonyolíthat le a 192.168.0.30 és a 192.168.8.1-es IP-címekkel



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek