Connect with us

Hirdetés

technokrata

A biztonsági mentés fontos – de nem egy féreg révén

Dotkom

A biztonsági mentés fontos – de nem egy féreg révén

Az Ypsan a már korábban bevált módszerhez nyúl: hordozó e-mailje révén backup készítésre próbálja meg rávenni áldozatát; ha sikerül, önmagát telepítteti az internetezővel.

A fertőzött e-mail jellemzői

Tárgy: Back Up System
Tartalom: The information that u asked for, Downloads and install the an Attached file, so you can save backs to your computer. To help you just in case you deleted or uninstalled some that you didn´t want uninstall.
Csatolmány: Install.vbs

A féreg paraméterei

Felfedezésének ideje: 2005. április 9.
Utolsó frissítés ideje: 2005. április 9.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 89.485 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– létrehozza a C:/WINDOWS/System/Uninstall könyvtárat
– felmásolja magát a fenti könyvtárba Uninstall.log.vbs és install.log.vbs néven
– megkísérli letörölni a következő állományokat:
C:Boot.ini
• [Windows elérési útvonala]/System.ini
• [Windows elérési útvonala]/Win.ini
• [System elérési útvonala]/wuauclt1.exe
• [System elérési útvonala]/wuauclt.exe
• [System elérési útvonala]/wupdmgr.exe
• [System elérési útvonala]/rundll32.exe
• [Windows elérési útvonala]/Regedit.exe
– hozzáadja a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz az alábbi bejegyzéseket:
. “BootsCfg” = “wscript.exe C:/WINDOWS/System/Uninstall/Install.log.vbs %”
. “Back Updates” = “wscript.exe C:/WINDOWS/System/Uninstall/Uninstall.log.vbs %”
– a következő Registry bejegyzéseket rögzíti még:
• HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System/”NoVirtMemPage” = “1”
• HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System/”NoPwdPage” = “1”
• HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System/”NoFileSysPage” = “1”
• HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System/”NoAdminPage” = “1”
• HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/WinOldApp/”Disabled” = “1”
• HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/”NoDeletePrinter” = “1”
• HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Network/”NoFileSharingControl” = “1”
• HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/”NoDrives” = “67108863”
– az Outlook Address Bookban található összes kontakt számára elküldi magát
– felülírja a C meghajtó gyökerében található autoexec.bat állományt rengeteg sorral, amivel eléri, hogy a rendszerindítás során letörlésre kerüljön a rendszert védő antivírus szoftver a merevlemezről; mindez a felhasználó előtt rejtve marad
– leállítja a megfertőzött számítógépet



Szólj hozzá!

További Dotkom

Hirdetés

Népszerű

Hirdetés

Technokrata a Facebookon

Hirdetés

IoT-Magazin.hu

Hirdetés

Kütyük

Smart home

Így képzelik el a magyarok az álomotthonukat

2024. március 20. szerda

Office

Foglalj helyet, hogy helyet foglalhass!

2024. március 13. szerda

Smart home

Okoskészülék vagy hagyományos háztartási gép?

2024. február 28. szerda
owlet care babafigyelő

Smart home

OWLET CARE a magyarországi piacon!

2024. február 26. hétfő
Hirdetés

Dotkom

Műszaki-Magazin.hu

Hirdetés