Connect with us

technokrata

A biztonsági mentés fontos – de nem egy féreg révén

Dotkom

A biztonsági mentés fontos – de nem egy féreg révén

Az Ypsan a már korábban bevált módszerhez nyúl: hordozó e-mailje révén backup készítésre próbálja meg rávenni áldozatát; ha sikerül, önmagát telepítteti az internetezővel.

A fertőzött e-mail jellemzői

Tárgy: Back Up System
Tartalom: The information that u asked for, Downloads and install the an Attached file, so you can save backs to your computer. To help you just in case you deleted or uninstalled some that you didn´t want uninstall.
Csatolmány: Install.vbs

A féreg paraméterei

Felfedezésének ideje: 2005. április 9.
Utolsó frissítés ideje: 2005. április 9.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 89.485 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– létrehozza a C:/WINDOWS/System/Uninstall könyvtárat
– felmásolja magát a fenti könyvtárba Uninstall.log.vbs és install.log.vbs néven
– megkísérli letörölni a következő állományokat:
C:Boot.ini
• [Windows elérési útvonala]/System.ini
• [Windows elérési útvonala]/Win.ini
• [System elérési útvonala]/wuauclt1.exe
• [System elérési útvonala]/wuauclt.exe
• [System elérési útvonala]/wupdmgr.exe
• [System elérési útvonala]/rundll32.exe
• [Windows elérési útvonala]/Regedit.exe
– hozzáadja a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz az alábbi bejegyzéseket:
. “BootsCfg” = “wscript.exe C:/WINDOWS/System/Uninstall/Install.log.vbs %”
. “Back Updates” = “wscript.exe C:/WINDOWS/System/Uninstall/Uninstall.log.vbs %”
– a következő Registry bejegyzéseket rögzíti még:
• HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System/”NoVirtMemPage” = “1”
• HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System/”NoPwdPage” = “1”
• HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System/”NoFileSysPage” = “1”
• HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System/”NoAdminPage” = “1”
• HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/WinOldApp/”Disabled” = “1”
• HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/”NoDeletePrinter” = “1”
• HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Network/”NoFileSharingControl” = “1”
• HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/”NoDrives” = “67108863”
– az Outlook Address Bookban található összes kontakt számára elküldi magát
– felülírja a C meghajtó gyökerében található autoexec.bat állományt rengeteg sorral, amivel eléri, hogy a rendszerindítás során letörlésre kerüljön a rendszert védő antivírus szoftver a merevlemezről; mindez a felhasználó előtt rejtve marad
– leállítja a megfertőzött számítógépet



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek