Connect with us

Hirdetés

technokrata

Újabb Sober variáns terjed

Dotkom

Újabb Sober variáns terjed

A Sober féreg L változata kezdte meg az “életét” a minap, érdekessége, hogy angolul és németül is “beszerezhető”.

A fertőzött e-mail jellemzői

Két változata létezik, egy angol és egy német. A feladó mindkét variáns esetén meg van hamisítva.

Német változat

Tárgy: Ich habe Ihre E-Mail bekommen!
Tartalom: Hallo,
jemand schickt ihre privaten Mails auf meinem Account.
Ich schaetze mal, das es ein Fehler vom Provider ist.
Insgesamt waren es jetzt schon 6 Mails!
Ich habe alle Mail-Texte im Texteditor kopiert und gezippt.
Wenn es doch kein Fehler vom Provider ist, sorge dafuer das diese Dinger nicht mehr auf meinem Account landen, es Nervt naemlich.
Gruss
Csatolmány: MailTexte.zip

Angol változat

Tárgy: Your Password & Account number
Tartalom: hi,
i´ve got an admin mail with a Password and Account info!
but the mail recipient are you! it´s probably an esmtp error, i think.
i´ve copied the full mail text in the Windows text-editor & zipped.
ok, cya…
Csatolmány: acc_text.zip

Megjegyzés: a csatolmányon belül egy pif kiterjesztésű állomány található, ez tartalmazza a férget

A féreg paraméterei

Felfedezésének ideje: 2005. március 7.
Utolsó frissítés ideje: 2005. március 7.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 45.222 byte
Fertőzések száma: 50-999
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza a következő állományokat:
. [Windows elérési útvonala]/msagent/system/smss.exe
. [Windows elérési útvonala]/msagent/system/emdata.mmx
. [Windows elérési útvonala]/msagent/system/zipzip.zab
. [System elérési útvonala]/nonrunso.ber
. [System elérési útvonala]/xcvfpokd.tqa
. [System elérési útvonala]/stopruns.zhz
– hozzáadja a Services.dll=[Windows elérési útvonala]/msagent/system/smss.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz, így a féreg minden rendszerindításkor betöltődik a memóriába
– leellenőrzi a hálózati kapcsolatot a 37-es porton keresztül egy NTP szerverhez való kapcsolódással; vagy megpróbál a következő domainek egyikéhez csatlakozni: microsoft.com, bigfoot.com, yahoo.com, t-online.de, google.com, hotmail.com
– amennyiben a számítógép éppen offline állapotban van, megkísérel betárcsázni és Internet-kapcsolatot létrehozni
– különböző állományokból e-mailcímeket gyűjt, mely keresés eredményét a Windows/msagent/system/emdata.mmx file-ban tárolja el
– e-mailt küld minden olyan címre, amelyhez hozzájutott, kivéve néhány olyat, amelyet a féreg alkotója veszélyesnek ítélt meg a féreg számára (néhány példa: @kaspers, @messagelab, @nai., @panda stb.)
– megkísérli leállítani azon futó process-eket, melyek a következő sztringek valamelyikét tartalmazzák: gcas, gcip, giantanti, hijackthis, stinger



Szólj hozzá!

További Dotkom

Hirdetés

Népszerű

Hirdetés

Technokrata a Facebookon

Hirdetés

IoT-Magazin.hu

Hirdetés

Kütyük

Smart home

Így képzelik el a magyarok az álomotthonukat

2024. március 20. szerda

Office

Foglalj helyet, hogy helyet foglalhass!

2024. március 13. szerda

Smart home

Okoskészülék vagy hagyományos háztartási gép?

2024. február 28. szerda
owlet care babafigyelő

Smart home

OWLET CARE a magyarországi piacon!

2024. február 26. hétfő
Hirdetés

Dotkom

Műszaki-Magazin.hu

Hirdetés