Connect with us

Hirdetés

technokrata

MSN Messengert használókat veszélyeztető féreg

Dotkom

MSN Messengert használókat veszélyeztető féreg

A Serflog féreg C változata azért érdekes a többi digitális kártevőhöz képest, mert a megfertőzött számítógépen egy számláló segítségével kijelzi, hogy hány másik PC esett már áldozatául.

A féreg paraméterei

Felfedezésének ideje: 2005. március 15.
Utolsó frissítés ideje: 2005. március 15.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nem ismert
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza a ´-S-K-Y-´-D-E-V-I-L-´ mutexet, hogy csak egyszer töltődjön be a memóriába
– létrehozza önmaga másolatát vagy a System könyvtárban (csnss.exe), vagy a Windows mappában (svhost.exe)
– az alábbi két név egyikén is felmásolja magát a System könyvtárba: userinit.exe, mcsv.com
– a rendszermeghajtó gyökerébe felmásolja magát a következő állománynevekkel:
. Death of crazy frog!.pif
. Hot babe!.pif
. Really Cute.pif
. My piccy.pif
. Bungee-Fuck.pif
. I_love_you.123greetings.com.com
. Paris Hilton Sex Tape.pif
. Shoot Bill Gates!.exe
. Best_Friend.scr
. lol Busted Are Gay!.pif
. Saddam Song!.pif
. Me at the Beach!.pif
– számos módosítást végez a Registry-ben; egyrészt, hogy önmagát minden rendszerindításkor betöltesse a memóriába, másrészt, hogy lecsökkentse a számítógép biztonsági szintjét
– letörli az alábbi kulcsokat a rendszerleíró adatbázisból, ha azok léteznek:
. HKEY_LOCAL_MACHINE/Software/Symantec
. HKEY_LOCAL_MACHINE/Software/McAfee
. HKEY_LOCAL_MACHINE/Software/KasperskyLab
. HKEY_LOCAL_MACHINE/Software/Agnitum
. HKEY_LOCAL_MACHINE/Software/Panda Software
. HKEY_LOCAL_MACHINE/Software/Zone Labs
– a következő Registry kulcsokbók kitörli az ott rögzített bejegyzéseket:
. HKEY_CURRENT_USER/Software/Microsoft/MSNMessenger/˝AntiVirus˝
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/˝MS_LARISSA˝
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/˝SpoolSV Manager˝
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/˝MSLARISSA˝
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/˝Command Prompt32˝
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/˝(L4r1$$4) (4nt1) (V1ruz)˝
– létrehozza a 10ser.Html állományt a rendszermeghajtó gyökerében, ami megjelenít egy JPEG állományt, amit egy webhelyről töltött le
– megjelenít egy számlálót, ami azt mutatja, hogy mennyi PC fertőződött már meg a féreg által
– a Windows mappában létrehozza a LARISSA you muppet.txt file-t, ami egy nem fertőző szöveges állomány
– önmaga másolatait MSN Messengeren keresztül elküldi az összes kontaktnak; ehhez az alábbi neveket használja:
. Crazy frog gets killed by train!.pif
. Annoying crazy frog getting killed.pif
. See my lesbian friends.pif
. My new photo!.pif
. Me on holiday!.pif
. The Cat And The Fan piccy.pif
. How a Blonde Eats a Banana…pif
. Mona Lisa Wants Her Smile Back.pif
. Topless in Mini Skirt! lol.pif
. Fat Elvis! lol.pif
. Jennifer Lopez.scr
– különböző file-megosztó alkalmazások megosztott könyvtáraiba képes betelepülni; a következő helyekre:
. [rendszermeghajtó]/My Shared Folder
. [felhasználói profil elérési útvonala]/Shared
. [Program Files elérési útvonala]/eMule/Incoming
– ezekbe a könyvtárakba a következő neveken kerülhet bele a féreg: MSN Messenger 7 patch!.exe, CE/DP Stealer 2.exe, MSN Avatar Display Pack 1.0.exe
– leállítja a rendszerre telepített behatolásvédelmi szoftverek futó process-eit
– számos antivírus és tűzfal alkalmazást fejlesztő vállalat webhelyének elérését tiltja le a Hosts file átírásával



Szólj hozzá!

További Dotkom

Hirdetés

Népszerű

Hirdetés

Technokrata a Facebookon

Hirdetés

IoT-Magazin.hu

Hirdetés

Kütyük

Smart home

Így képzelik el a magyarok az álomotthonukat

2024. március 20. szerda

Office

Foglalj helyet, hogy helyet foglalhass!

2024. március 13. szerda

Smart home

Okoskészülék vagy hagyományos háztartási gép?

2024. február 28. szerda
owlet care babafigyelő

Smart home

OWLET CARE a magyarországi piacon!

2024. február 26. hétfő
Hirdetés

Dotkom

Műszaki-Magazin.hu

Hirdetés