Connect with us

technokrata

Vírusmentes e-mailnek álcázva érkező féreg

Dotkom

Vírusmentes e-mailnek álcázva érkező féreg

Többnyire levélkezelési problémának álcázottan bukkan fel a Sinnaka féreg A változata, így próbálja meg rávenni az internetezőt a fertőzött csatolmány futtatására.

A fertőzött e-mail jellemzői

Tárgy: egy előre elkészített, sok elemű listából válogat, néhány példa:
– Administration
– Bad Request
– Delivery Protection
– Delivery Server
– Encripted Mail
– Error
– Extended Mail
– Extended Mail System

Tartalom: szintén számos változat létezik, néhány variáció a levéltörzsre:
– Bad Gateway: The message has been attached.
– Delivered message is attached.
– Encrypted message is available.
– ESMTP [Secure Mail System #334]: Secure message is attached.
– First part of the secure mail is available.
– Follow the instructions t read the message.
– For further details see the attachment.
– For more details see the attachment.
– Forwarded message is available.
– New message is available.

Álnok módon hozzáfűzi a végéhez a +++ Attachment: No Virus found sort, majd az alábbiak egyikét:
+++ MessageLabs AntiVirus – www.messagelabs.com
+++ Bitdefender AntiVirus – www.bitdefender.com
+++ MC-Afee AntiVirus – www.mcafee.com
+++ Kaspersky AntiVirus – www.kaspersky.com
+++ Panda AntiVirus – www.pandasoftware.com
++++ Norman AntiVirus – www.norman.com
++++ F-Secure AntiVirus – www.f-secure.com
++++ Norton AntiVirus – www.symantec.de

Csatolmány: az alábbiak egyike:
– data.zip
– details.zip
– document.zip
– Message.zip
– msg.zip
– readme.zip

Megjegyzés: a tömörített állomány a következők egyikét tartalmazza:
Document.txt [sok szóköz].exe
Delails.doc [sok szóköz].exe
Data.txt [sok szóköz].exe
Readme.txt [sok szóköz].exe

A féreg paraméterei

Felfedezésének ideje: 2005. április 15.
Utolsó frissítés ideje: 2005. április 17.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 557.056 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja lsess.exe néven magát a System mappába
– létrehozza ugyanitt a következő ZIP állományokat, melyek a féreg achívált változatai:
• lsess.zip
• credit card.zip
• edonkey 1.1.zip
• emoticons msn.zip
• hotmail passwords howto.me.zip
• lsess.zip
• norton antivirus.zip
• overnet full.zip
• windows commander.zip
• windows xp activate.zip
• winzip cracked.zip
– még mindig itt hozza létre a zlib.dll és az ansmtp.dll file-okat
– hozzáadja az “lsess” = “lsess.exe” bejegyzést a következő Registry alkulcsokhoz:
• HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
• HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
• HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServicesOnce
• HKEY_CLASSES_ROOT/txtfile/shell/open/command
– átkutatja a számítógép merevlemezén tárolt file-okat e-mailcímek után
– saját SMTP-motorját beregisztrálja a következő Registry bejegyzések létrehozásával:
• HKEY_CLASSES_ROOTANSMTP.MassSender
• HKEY_CLASSES_ROOTANSMTP.MassSender.1
• HKEY_CLASSES_ROOTCLSID{253664FB-EDFC-4AC6-BD69-B322F466AEED}
• HKEY_CLASSES_ROOTCLSID{887A577B-406B-48FF-80CB-70752BFCD7B4}
– elküldi magát (majdnem) minden megszerzett e-mailcímre
– leállítja a rendszerre telepített behatolásvédelmi szoftverek futó process-eit



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek

kiemelt-kep
2018-volkswagen-arteon-photos-and-info-news-car-and-driver-photo-676567-s-original
SAN BERNARDINO, OCTOBER 29: Shipping orders go by on a conveyor belt at Amazon's San Bernardino Fulfillment Center October 29, 2013 in San Bernardino, California. Amazon's 1 million square-foot facility in the hard hit San Bernardino County has created more than 800 jobs at the center. Fulfillment centers are where products sold by other vendors on Amazon.com store their inventory. (Photo by Kevork Djansezian/Getty Images)
20170802_093113

Tesztek

Kipróbáltam a Kingston legújabb SD-kártya olvasóját

2017. augusztus 3. csütörtök
SAMSUNG CSC
SAMSUNG CSC

Mobil tesztek

Teszt: Megvizsgáltuk, milyen az új Honor 8 (video)

2017. május 23. kedd
uobelqc8

Mobil tesztek

Teszt: Megnéztük magunknak a Huawei P10 Plus-t

2017. május 4. csütörtök
SAMSUNG CSC

Laptop tesztek

Teszt: Fujitsu Lifebook U747 – A pehelysúlyú bajnok

2017. április 14. péntek
SAMSUNG CSC

Audió Eszközök

TESZT: iFrogz – Coda Wireless család

2017. április 11. kedd
SAMSUNG CSC

Okosóra tesztek

Teszt: Casio Edifice EQB-600

2017. március 28. kedd