Connect with us

technokrata

MSN Messenger, AIM, Yahoo Messenger – férgeknek kiszolgáltatva

Dotkom

MSN Messenger, AIM, Yahoo Messenger – férgeknek kiszolgáltatva

Több azonnali üzenőklienstípus felhasználóit is fenyegeti a Velkbot nevű féreg A változata.

A féreg paraméterei

Felfedezésének ideje: 2005. április 23.
Utolsó frissítés ideje: 2005. április 24.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nem ismert
Fertőzések száma: 50-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– a következő üzenetet minden kontakt számára elküldi, akit MSN Messengeren, Yahoo Messengeren és/vagy AOL Instant Messengeren el tud érni:
Fejléc: rofl
Tartalom: [domain]com/pictures.php /r [e-mail cím]
– amennyiben a gyanútlan felhasználó rákattint, a féreg letöltődik számítógépére az e-mailcímként feltüntetett karaktersorozat néven
– bemásolja magát a System könyvtárba winmsg.exe nével
– hozzáadja a “Windows Messenger Messenger” = “winmsg.exe” bejegyzés a következő Registry kulcsokhoz:
. HKEY_LOCAL_MACHINE/Software/Microsoft/Ole
. HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/Lsa
. HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices
– létrehozza a hedlp32a nevű mutexet, hogy megakadályozza a memóriába való többszöri betöltődését
– letiltja a Taskmanager és a Registry editor alkalmazások működését
– megpróbál az afil.canadiangov.info domainen található IRC-szerverhez csatlakozni, majd alkotójától érkező parancsokra várakozik; ezek a következők lehetnek:
. rendszer-, hálózati információk ellopása
. billentyűleütések logolása
– üzenetek küldése IM révén
. file-ok letöltése és futtatása



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek