Connect with us

technokrata

Windows-frissítésnek álcázott féregvírus

Dotkom

Windows-frissítésnek álcázott féregvírus

A Microsoft operációs rendszereit gyakran frissíteni kell – de nem egy e-mailben küldött program igénybevételével, ahogy azt a Haster féreg próbálja meg beadni az internetezőknek.

A fertőzött e-mail jellemzői

Tárgy: Windows Back ups
Tartalom:
Must update your windows, so you dont lost any data. please install the
attached file and then your back ups will start.
Csatolmány: bkupinstall.vbs

A féreg paraméterei

Felfedezésének ideje: 2005. április 3.
Utolsó frissítés ideje: 2005. április 4.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nem ismert
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– létrehozza a C:/WINDOWS/system/Back ups könyvtárat a megtámadott rendszerben
– felmásolja magát a System könyvtára, a következő neveken:
• /Back ups/ bkupinstall.vbs
• /system/Back ups/3-01-05.bkup.vbs
• /system/Back ups/4-01-05.bkup.vbs
• /system/Back ups/bkupinstall.vbs
– hozzáadja a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz a következő két bejegyzést:
• BootCfg=wscript.exe C:/WINDOWS/System/Back ups/4-01-05.bkup.vbs %
• Windows Update=wscript.exe C:/WINDOWS/System/Back ups/3-01-05.bkup.vbs %
– további Registry-változtatásokat végez:
• HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System/”NoVirtMemPage” = “1”
• HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/”NoDeletePrinter” = “1”
• HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/”Explorer/”NoClose” = “1”
– e-mailt küld minden, az Outlook address bookjában levő kontakt számára



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek