Connect with us

technokrata

Azonnali üzenetküldő programokat veszélyeztető féreg

Dotkom

Azonnali üzenetküldő programokat veszélyeztető féreg

File-megosztó alkalmazásokon és MSN Messengeren át terjed a Serflog féreg.

A féreg paraméterei

Felfedezésének ideje: 2005. március 7.
Utolsó frissítés ideje: 2005. március 8.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nem ismert
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– letilthatja a Registry-szerkesztő programok indítását, a parancssoros üzemmódot, a process-figyelő programok és a Task manager indítását
– létrehozza a ´-F-u-c-k-´-Y-o-u-´ mutexet, hogy csak egyszer töltődjön be a memóriába
– létrehozza önmaga rejtett másolatait a következő helyeken:
. [System elérési útvonala]/formatsys.exe
. [System elérési útvonala]/serbw.exe
. [Windows elérési útvonala]/msmbw.exe
. [rendszermeghajtó]/Crazy frog gets killed by train!.pif
. [rendszermeghajtó]/Annoying crazy frog getting killed.pif
. [rendszermeghajtó]/See my lesbian friends.pif
. [rendszermeghajtó]/LOL that ur pic!.pif
. [rendszermeghajtó]/My new photo!.pif
. [rendszermeghajtó]/Me on holiday!.pif
. [rendszermeghajtó]/The Cat And The Fan piccy.pif
. [rendszermeghajtó]/How a Blonde Eats a Banana…pif
. [rendszermeghajtó]/Mona Lisa Wants Her Smile Back.pif
. [rendszermeghajtó]/Topless in Mini Skirt! lol.pif
. [rendszermeghajtó]/Fat Elvis! lol.pif
. [rendszermeghajtó]/Jennifer Lopez.scr
. [rendszermeghajtó]/lspt.exe
. [felhasználói profil elérési útvonala]/Local Settings/Application Data/Microsoft/CD Burning/autorun.exe
– további állományokat másol fel a rendszerre:
. [rendszermeghajtó]/British National Party.jpg
. [rendszermeghajtó]/Crazy-Frog.Html
. [rendszermeghajtó]/Message to n00b LARISSA.txt
– megnyit egy böngészőablakot, hogy megjeleníthesse a fenti HTML állományt
– megjeleníti a fenti text file-t Notepaddel
– ha létezik, letörli a [rendszermeghajtó]/MESSAGE_TO_BROPIA.txt állományt
– hozzáad egy önmagára mutató bejegyzést az alábbi Registry kulcsokhoz, így intézve el, hogy minden rendszerinduláskor betöltődjön:
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/policies
/Explorer/Run
. HKEY_CURRENT_USER/Microsoft/Windows/CurrentVersion/Run
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/Explorer/Run
– elküldi önmagát az MSN Messengerben talált összes kontakt számára, a következő file-nevek egyikeként:
. Crazy frog gets killed by train!.pif
. Annoying crazy frog getting killed.pif
. See my lesbian friends.pif
. My new photo!.pif
. Me on holiday!.pif
. The Cat And The Fan piccy.pif
. How a Blonde Eats a Banana…pif
. Mona Lisa Wants Her Smile Back.pif
. Topless in Mini Skirt! lol.pif
. Fat Elvis! lol.pif
. Jennifer Lopez.scr
– különböző file-megosztó alkalmazások megosztott könyvtáraiba képes betelepülni; a következő helyekre:
. [rendszermeghajtó]/My Shared Folder
. [felhasználói profil elérési útvonala]/Shared
. [Program Files elérési útvonala]/eMule/Incoming
– ezekbe a könyvtárakba a következő neveken kerülhet bele a féreg: Messenger Plus! 3.50.exe, MSN all version polygamy.exe, MSN nudge bomb.exe
– hozzáadja az OPEN=autorun.exe szöveget a [rendszermeghajtó]/Documents and Setting/[bejelentkezett felhasználó]/Local Settings/Application Data/Microsoft/CD Burning/autorun.inf állományhoz
– leállítja a rendszerre telepített behatolásvédelmi szoftverek futó process-eit
– számos antivírus és tűzfal alkalmazást fejlesztő vállalat webhelyének elérését tiltja le a Hosts file átírásával



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek