Connect with us

technokrata

Többnyelvű féreg terjed

Dotkom

Többnyelvű féreg terjed

Angolul és németül egyaránt szaporodik a közismert Sober féreg N változata.

A féreg paraméterei

Felfedezésének ideje: 2005. március 31.
Utolsó frissítés ideje: 2005. április 1.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nem ismert
Fertőzések száma: 50-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a következő helyekre:
• [Windows elérési útvonala]/addins/explorer/csrss.exe
• [System elérési útvonala]/[véletlenszerűen elnevezett .exe file]
• [Temp elérési útvonala]/_[ugyanaz a file név]
– létrehozza a következő állományokat a rendszerben:
• [Windows elérési útvonala]/addins/explorer/infectok.iok
• [Windows elérési útvonala]/addins/explorer/jjfggggr.oou (ez az állomány szöveges formátumú és a fertőzött számítógépről összelopkodott e-mailcímeket tartalmazza)
• [System elérési útvonala]/nonrunso.ber
• [System elérési útvonala]/adcmmmmq.hjg
• [System elérési útvonala]/xcvfpokd.tqa
• [System elérési útvonala]/stopruns.zhz
– hozzáadja a SystemDriver=[Windows elérési útvonala]/addins/explorer/csrss.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run kulcshoz
– hozzáadja a _SystemDriver=[Windows elérési útvonala]/addins/explorer/csrss.exe bejegyzést a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run kulcshoz
– önmagát wscsvs néven service-ként regisztrálja
– leellenőrzi az Internet-kapcsolat meglétét a következő domainekkel való kapcsolat felvételével:
• microsoft.com
• bigfoot.com
• yahoo.com
• t-online.de
• google.com
• hotmail.com
– megkísérel letölteni egy állományt a következő domainekről:
• home.arcor.de
• people.freenet.de
• free.pages.at
• scifi.pages.at
• home.pages.at
– felfüggeszti azon process-ek futását, melyek neve az alábbi sztringek valamelyikét tartalmazza:
• gcip
• giantanti
• stinger
• hijack
• sober
• rclean
– megjelenítheti az alábbi álhibaüzenetet:
Winsock 2.0 Error
STOP:0x10020AF {Unknown_blocking}
Possible Reason: Your “Firewall” is blocking one or more System files
Check the “Winsock Error Log File” on: C:/WinsockError_log.txt
– létrehozza a C meghajtó gyökerében a nem ártalmas C:/WinsockError_log.txt file-t
– megkísérel dial-up kapcsolatot létesíteni, ha a számítógép offline és talál ilyen betárcsázási lehetőséget a rendszerben
– különböző állományokból e-mailcímeket gyűjtöget, melyet a fent már említett jjfggggr.oou állományban tárol el
– önmaga másolatát minden címzetthet elküldi, az e-mail tartalma egyaránt lehet angol vagy német; a feladót természetesen meghamisítja
– az elküldött e-mail tartalma mindenképpen német lesz, ha az alábbi sztringek egyikét tartalmazza az adott cím:
• @gmx
• @web
• @arcor
• @freenet



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek