Connect with us

technokrata

Futtatható állományokat fertőző féreg

Dotkom

Futtatható állományokat fertőző féreg

A Zori féreg B változata a rendszer .exe állományait támadja és fertőzi meg.

A féreg paraméterei

Felfedezésének ideje: 2005. március 31.
Utolsó frissítés ideje: 2005. március 31.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 623.116 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– megjelenít egy képet
– felmásolja magát a következő helyekre:
• C:/windows/temp/ssshost.exe
• [Windows elérési útvonala]/svchost.exe
– hozzáadja a Microsoft=[Windows elérési útvonala]/svchost.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/MicroSoft/Windows/CurrentVersion/Run Registry kulcshoz
– a HKEY_LOCAL_MACHINE/SOFTWARE/Classes/exefile/shell/open/command kulcs alapértelmezett értékét [Windows elérési útvonala]/svchost.exe %1 %*-ra módosítja, így minden exe állomány megnyitásakor elindul a féreg
– hozzáadja a Version=0x3E9 bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/mysoft Registry kulcshoz, mint fertőzésjelzőt
– hátsó kaput nyit a megtámadott rendszeren a youda2000.vicp.net címen, a 1879-es TCP porton keresztül, majd alkotójától érkező parancsokra várakozik
– megkísérli leállítani a következő futó process-eket, ha azok megtalálhatók a memóriában:
• pfw.exe
• kvfw.exe
• KAVPFW.EXE
• iamapp.exe
• nmain.exe
• freepp.EXE
• freekav.EXE
• freesys.EXE
• Iparmor.exe
• trojan_hunter.exe
• Rfw.exe
• rav
• taskmgr.exe
– megkísérli letörölni az alábbi értékeket a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run kulcsból:
. SKYNET Personal FireWall
. iDuba Personal FireWall
. iamapp
. rfw
. popproxy
. RavMon
. RavTimer
– EXE állományok után kutat a merevlemezen, s minden egyes file-t megfertőz, amit megtalál; saját, 623.116 byte-os kódját fűzi hozzá
– megpróbálkozhat Windows-os file-megosztások révén szaporodni



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek

kiemelt-kep
2018-volkswagen-arteon-photos-and-info-news-car-and-driver-photo-676567-s-original
SAN BERNARDINO, OCTOBER 29: Shipping orders go by on a conveyor belt at Amazon's San Bernardino Fulfillment Center October 29, 2013 in San Bernardino, California. Amazon's 1 million square-foot facility in the hard hit San Bernardino County has created more than 800 jobs at the center. Fulfillment centers are where products sold by other vendors on Amazon.com store their inventory. (Photo by Kevork Djansezian/Getty Images)
20170802_093113

Tesztek

Kipróbáltam a Kingston legújabb SD-kártya olvasóját

2017. augusztus 3. csütörtök
SAMSUNG CSC
SAMSUNG CSC

Mobil tesztek

Teszt: Megvizsgáltuk, milyen az új Honor 8 (video)

2017. május 23. kedd
uobelqc8

Mobil tesztek

Teszt: Megnéztük magunknak a Huawei P10 Plus-t

2017. május 4. csütörtök
SAMSUNG CSC

Laptop tesztek

Teszt: Fujitsu Lifebook U747 – A pehelysúlyú bajnok

2017. április 14. péntek
SAMSUNG CSC

Audió Eszközök

TESZT: iFrogz – Coda Wireless család

2017. április 11. kedd
SAMSUNG CSC

Okosóra tesztek

Teszt: Casio Edifice EQB-600

2017. március 28. kedd