Connect with us

technokrata

Vigyázat, a számítógépe megfertőződött – értesíti egy új féreg az áldozatát

Dotkom

Vigyázat, a számítógépe megfertőződött – értesíti egy új féreg az áldozatát

A Chod nevű digitális kártevő pofátlan módon vírusértesítőnek és -eltávolítónak álcázza magát a fertőzött e-mailben.

A fertőzött e-mail jellemzői

Feladó: természetesen hamis, de olybá tűnik, mintha az alábbi címek valamelyikéről érkezett volna (holott nem így van):
– security@microsoft.com
– security@trendmicro.com
– securityresponse@symantec.com

Tárgy: a következő kettő közül valamelyik:
– Warning – you have been infected!
– Your computer may have been infected

Tartalom: Your message was undeliverable due to the following reason(s):
Your message could not be delivered because the destination server was unreachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configuration parameters. Most likely there is a network problem that prevented delivery, but it is also possible that the computer is turned off, or does not have a mail system running right now.

Csatolmány: az alábbiak egyike:
– netsky_removal.exe
– removal_tool.exe
– message.pif
– message.scr

A féreg paraméterei

Felfedezésének ideje: 2005. április 1.
Utolsó frissítés ideje: 2005. április 3.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nem ismert (U változat), 46.687 byte (V változat)
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza a cpu.dll file-t a System könyvtárban, illetve a következő állományokat egy, a System könyvtárban véletlenszerűen generált mappában:
• csrss.dat
• csrss.exe
• csrss.ini
– megjelenít egy álhibaüzenetet:Run-time Error
Run-time error #7: Out of memory
– létrehozhat egy parancsikont a Startup könyvtárban, csrss.lnk néven
– a következő Registry kulcsokban való bejegyzések rögzítésével minden Windows-indításkor betölteti magát:
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run/”Csrss” = “%System%/[random folder name]/csrss.exe”
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run/”Csrss” = “%System%/[random folder name]/csrss.exe”
. HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows/”run” = “%System%/[random folder name]/csrss.exe”
– a következő bejegyzéseket fertőzésjelzőként használja:
. HKEY_CLASSES_ROOT/Chode/”Installed” = “1”
. HKEY_CURRENT_USER/Software/Chode/”Installed” = “1”
– letöröl számos kulcsot a rendszerleíró adatbázisóbl annak érdekében, hogy megakadályozza a hozzájuk rögzített alkalmazások futtatását
– önmaga elrejtése érdekében a következő módosításokat végzi el:
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/”Hidden” = “2”
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/”SuperHidden” = “0”
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/”ShowSuperHidden” = “0”
– a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/ kulcs számos bejegyzését letörli, ezzel csökkentve a rendszer biztonsági szintjét; majd a Registry-t szerkesztő eszközök használatát is letiltja
– létrehoz két, a csrss.exe állományra mutató bejegyzést a rendszerleíró adatbázisban
– e-mailcímeket gyűjt a rendszer egyes állományaiból, majd (kevés kivételtől eltekintve) mindegyikre továbbítja magát
– megkísérel MSN Messengeren keresztül is terjedni, ehhez a kontaktlistában található emberek számára küld üzeneteket; néhány példa:
. check out what I just found on some stupid website
. dude check this out, it´s awesome! 😀
. haha you have to see this, I almost couldn´t believe it! :O
. holy shit you have to see this… 😐
. I just found this on a CD… you won´t believe it! 😐
. LOL! look at this, I can´t explain it it in words..
– a fenti üzenetekkel együtt egy PIF vagy SCR kiterjesztésű állományt is átküld, melynek neve a következők valamelyike lehet:
. check this out
. gross
. my sister´s webcam
. mypic
. paris hilton
. picture
. rofl
. us together
. wtf
– felülírja a hosts állományt a rendszerben, így téve elérhetetlenné számos webhely elérését
– leállítja a rendszerre telepített behatolásvédelmi (és egyéb) eszközök futó process-eit
– hátsó kaput nyit a rendszeren és egy távoli IRC-szerverhez csatlakozik, majd alkotójától érkező parancsokra vár; ennek révén a következő folyamatok válnak végrehajthatóvá a fertőzött számítógépen:
. file-ok letöltése és futtatása
. IRCD telepítése és eltávolíása
. ping, TCP vagy UDP DoS-támadások kezdeményezése
. a számítógép leállítása vagy újraindítása stb.
– megkísérli megszerezni az alábbi programokhoz használt felhasználói jelszavakat az Intelligent TCPIP.SYS patcher, a MessenPass vagy a Protected Storage PassView programok egyike révén:
. AOL Instant Messenger (in old versions)
. AOL Instant Messenger/Netscape 7
. GAIM
. ICQ Lite 4.x/2003
. Miranda
. MSN Messenger
. Trillian
.Windows Messenger (on Windows XP)
. Yahoo Messenger (Versions 5.x and 6.x)



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek

kiemelt-kep
2018-volkswagen-arteon-photos-and-info-news-car-and-driver-photo-676567-s-original
SAN BERNARDINO, OCTOBER 29: Shipping orders go by on a conveyor belt at Amazon's San Bernardino Fulfillment Center October 29, 2013 in San Bernardino, California. Amazon's 1 million square-foot facility in the hard hit San Bernardino County has created more than 800 jobs at the center. Fulfillment centers are where products sold by other vendors on Amazon.com store their inventory. (Photo by Kevork Djansezian/Getty Images)
20170802_093113

Tesztek

Kipróbáltam a Kingston legújabb SD-kártya olvasóját

2017. augusztus 3. csütörtök
SAMSUNG CSC
SAMSUNG CSC

Mobil tesztek

Teszt: Megvizsgáltuk, milyen az új Honor 8 (video)

2017. május 23. kedd
uobelqc8

Mobil tesztek

Teszt: Megnéztük magunknak a Huawei P10 Plus-t

2017. május 4. csütörtök
SAMSUNG CSC

Laptop tesztek

Teszt: Fujitsu Lifebook U747 – A pehelysúlyú bajnok

2017. április 14. péntek
SAMSUNG CSC

Audió Eszközök

TESZT: iFrogz – Coda Wireless család

2017. április 11. kedd
SAMSUNG CSC

Okosóra tesztek

Teszt: Casio Edifice EQB-600

2017. március 28. kedd