Connect with us

technokrata

Újra fertőz a Beagle féreg

Dotkom

Újra fertőz a Beagle féreg

Ismét felbukkant a Beagle féreg egy új változata, mely ezúttal egy trójai programot is igyekszik terjeszteni.

A fertőzött levél tulajdonságai

Tárgy: üres
Tartalom: a következő kettő közül egy:
– The password is
– Password:
Csatolmány: az alábbiak közül egy:
– Make.zip
– Price.zip
– Forest.zip
– Verses.zip
– Fairy_tale.zip
– It_about_you.zip
– I_know_you.zip
Megjegyzés: a tömörített állomány az 123456.exe file-t tartalmazza, ami a Tooso nevű trójai program H változata, s ez felel az e-mailküldő modul letöltéséért

A féreg paraméterei

Felfedezésének ideje: 2005. április 15.
Utolsó frissítés ideje: 2005. április 17.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nem ismert
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– létrehozza a System könyvtárban az svc.exe állományt
– létrehozza a következő mutexeket, hogy megakadályozza a Netsky egyes variánsainak működését:
• MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
• ´D´r´o´p´p´e´d´S´k´y´N´e´t´
• _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
• [SkyNet.cz]SystemsMutex
• AdmSkynetJklS003
• ____—>>>>U<<<<--_____
• -oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
– hozzáadja az erthgdr=[System elérési útvonala]/svc.exe bejegyzést a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Ru1n kulcshoz
– létrehozhatja a következő kulcsokat a rendszerleíró adatbázisban:
• HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Ru1n
• HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Ru1n
– rengeteg Registry-kulcsot képes letörölni, mely behatolásvédelmi szoftverekkel van kapcsolatban
– PHP kérelmet intéz a www.candspc.com oldalhoz, aminek eredményét elmenti a Windows mappába eml.exe néven
– a 80-as TCP porton át hátsó kaput nyit a rendszeren, így a PC a továbbiakban e-mail relay-ként funkcionálhat
– saját SMTP-motorja révén továbbítja a Trojan.Tooso.F másolatát



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek