Connect with us

Tovább mutálódott a Mydoom féreg

Dotkom

Tovább mutálódott a Mydoom féreg

A Mydoom féreg megállíthatatlanul mutálódik tovább, ezúttal a BI változat igyekszik megtéveszteni az internetezőket, s hátsó kaput nyitni rendszereiken.

A fertőzött e-mail jellemzői

Feladó: meghamisított e-mailcím

Tárgy: az alábbiak egyike:
– Do love
– DO LOVE
– do love photo
– Do love photo
– DO LOVE PHOTO
– Do you love me?
– DO YOU LOVE ME?
– Honey.our do love
– HONEY.OUR DO LOVE
– I love you more than the stars above.
– I LOVE YOU MORE THAN THE STARS AVOVE.
– my photo
– My photo
– MY PHOTO
– please give me a kiss
– Please give me a kiss
– PLEASE GIVE ME A KISS
– What doy you feel like doing tonight honey?
– WHAT DOY YOU FEEL LIKE DOING TONIGHT HONEY?
– [üres]
– [véletlenszerűen összedobált karakterek]

Tartalom: egyike a következőknek:
– [üres]
– [véletlenszerűen összedobált karakterek]
– If I marry you,there are going to be some ground rules.
– Sweetheart, i love you more than i can say!
– I love you more than the stars above.
– Give more photo of my.

Csatolmány: Egy .zip, .bat, .cmd, .exe, .scr vagy .pif kiterjesztésű állomány, aminek a neve a következők valamelyike:
– youbody
– youmessage
– youtest
– youdata
– youfile
– youtext
– youdoc
– dolove
– photo

A féreg paraméterei

Felfedezésének ideje: 2005. április 1.
Utolsó frissítés ideje: 2005. április 1.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nem ismert
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba a WINLOG0N.EXE névvel
– megnyit egy szövegfile-t a NOTEPAD.EXE révén, amivel értelmetlen adatokat tud megjeleníteni a monitoron
– létrehozza a wxapi.dll és az svch0st.exe file-okat a System mappában, amivel banki account információk birtokába képes jutni
– létrehozza az alábbi Registry alkulcsok valamelyikét:
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/ComDlg32/Version
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Explorer/ComDlg32/Version
– hozzáadja a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run kulcshoz a következő bejegyzéseket:
. WINLOG0N=[System elérési útvonala]/WINLOG0N.EXE
. Systems=[System elérési útvonala]/svch0st.exe
– módosítja a HKEY_CLASSES_ROOT/CLSID/{E6FB5E20-DE35-11CF-9C87-00AA005127ED}/InProcServer32 alkulcs alapértelmezett értékét, mégpedig a következőre: [System elérési útvonala]/wxapi.dll; így a férget az explorer.exe fogja betölteni a memóriába
– lellenőrzi a DlDir0 bejegyzéshez tartozó elérési útvonalat a HKEY_CURRENT_USER/Software/Kazaa/Transfer kulcsban; majd felmásolja magát ide a következő neveket használva:
• QQ2005
• office_sn
• do_love_photo
• strip_girlsex_movies
• gril_photo
• MSN2005-final
• winamp6
ehhez a következő kiterjesztéseket használja: .scr, .pif, .exe, .bat
– e-mailcímek után kutat a Windows Address Bookjában és különböző file-okban
– saját SMTP-motorja révén továbbítja magát a fent meglelt címekre
– utolsó ˝ajándékként˝ hátsó kaput létesít a rendszeren egy véletlenszerű TCP port megnyitásával; ennek révén akár távoli proxy-ként is használhatóvá válik a fertőzött számítógép



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek

SAN BERNARDINO, OCTOBER 29: Shipping orders go by on a conveyor belt at Amazon's San Bernardino Fulfillment Center October 29, 2013 in San Bernardino, California. Amazon's 1 million square-foot facility in the hard hit San Bernardino County has created more than 800 jobs at the center. Fulfillment centers are where products sold by other vendors on Amazon.com store their inventory. (Photo by Kevork Djansezian/Getty Images)
20170802_093113

Tesztek

Kipróbáltam a Kingston legújabb SD-kártya olvasóját

2017. augusztus 3. csütörtök
SAMSUNG CSC
SAMSUNG CSC

Mobil tesztek

Teszt: Megvizsgáltuk, milyen az új Honor 8 (video)

2017. május 23. kedd
uobelqc8

Mobil tesztek

Teszt: Megnéztük magunknak a Huawei P10 Plus-t

2017. május 4. csütörtök
SAMSUNG CSC

Laptop tesztek

Teszt: Fujitsu Lifebook U747 – A pehelysúlyú bajnok

2017. április 14. péntek
SAMSUNG CSC

Audió Eszközök

TESZT: iFrogz – Coda Wireless család

2017. április 11. kedd
SAMSUNG CSC

Okosóra tesztek

Teszt: Casio Edifice EQB-600

2017. március 28. kedd
the_english_surgeon_534448a

Alkalmazások, szoftverek

Idegesek leszünk, ha nem tölt fel elég gyorsan a selfie?

2017. február 27. hétfő
09

Autók

De miééért kellett ezt tenni az orrával?

2017. február 22. szerda