Connect with us

technokrata

Újabb, MSN Messengert fenyegető féreg

Dotkom

Újabb, MSN Messengert fenyegető féreg

Nem meglepő módon ismét mutálódott a Kelvir féreg, melynek M változata a Microsoft azonnali üzenőprogramját használók révén szaporodik.

A féreg paraméterei

Felfedezésének ideje: 2005. április 4.
Utolsó frissítés ideje: 2005. április 5.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nem ismert
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– a következő üzenetek egyikét elküldi minden MSN Messenger kontakt számára, amennyiben az üzenőkliens fel van telepítve a rendszerre:
• omg u have to see this [domain]/aprilfools.scr
• heh look what me mate sent me [domain]/aprilfools.scr
• this guy is crazy [domain]/aprilfools.scr
• this guy is sooo lucky [domain]/aprilfools.scr
– amennyiben a felhasználó megkapja ezt az üzenetet és rákattint, egy rosszindulatú webhelyre lesz átirányítva, és a távoli állomány (aprilfools.scr) letöltésre kerül; ez a W32.Kelvir.M féreg másolata
– felmásolja magát a System könyvtárba Isass32.exe néven, melynek rejtett, csak olvasható és rendszer attributumot állít be
– hozzáadja a LSASS32=Isass32.exe bejegyzést az alábbi Registry alkulcsokhoz:
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
– megkísérel a 443-as TCP porton keresztül az s.defonic2.net és az s.majesticwin.com domaineken található IRC-szerverekhez csatlakozni, így a következő lehetőségeket kínálva fel alkotójának:
• HTTP szerver megnyitása
• csomagok átirányítása
• file-ok letöltése
• billentyűzet LED-jeinek villogtatása, CD-ROM kinyitása/becsukása
• process-ek és service-ok leállítása
• billentyű-leütést figyelő program telepítése stb.



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek