Connect with us

technokrata

Futtatható állományokat fertőző féreg

Dotkom

Futtatható állományokat fertőző féreg

A Zori féreg B változata a rendszer .exe állományait támadja és fertőzi meg.

A féreg paraméterei

Felfedezésének ideje: 2005. március 31.
Utolsó frissítés ideje: 2005. március 31.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 623.116 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– megjelenít egy képet
– felmásolja magát a következő helyekre:
• C:/windows/temp/ssshost.exe
• [Windows elérési útvonala]/svchost.exe
– hozzáadja a Microsoft=[Windows elérési útvonala]/svchost.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/MicroSoft/Windows/CurrentVersion/Run Registry kulcshoz
– a HKEY_LOCAL_MACHINE/SOFTWARE/Classes/exefile/shell/open/command kulcs alapértelmezett értékét [Windows elérési útvonala]/svchost.exe %1 %*-ra módosítja, így minden exe állomány megnyitásakor elindul a féreg
– hozzáadja a Version=0x3E9 bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/mysoft Registry kulcshoz, mint fertőzésjelzőt
– hátsó kaput nyit a megtámadott rendszeren a youda2000.vicp.net címen, a 1879-es TCP porton keresztül, majd alkotójától érkező parancsokra várakozik
– megkísérli leállítani a következő futó process-eket, ha azok megtalálhatók a memóriában:
• pfw.exe
• kvfw.exe
• KAVPFW.EXE
• iamapp.exe
• nmain.exe
• freepp.EXE
• freekav.EXE
• freesys.EXE
• Iparmor.exe
• trojan_hunter.exe
• Rfw.exe
• rav
• taskmgr.exe
– megkísérli letörölni az alábbi értékeket a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run kulcsból:
. SKYNET Personal FireWall
. iDuba Personal FireWall
. iamapp
. rfw
. popproxy
. RavMon
. RavTimer
– EXE állományok után kutat a merevlemezen, s minden egyes file-t megfertőz, amit megtalál; saját, 623.116 byte-os kódját fűzi hozzá
– megpróbálkozhat Windows-os file-megosztások révén szaporodni



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek