Connect with us

Weboldalakhoz való hozzáférést letiltó féreg

Dotkom

Weboldalakhoz való hozzáférést letiltó féreg

Egy új digitális fenyegetés bukkant fel, amely a megfertőzött számítógépről ellehetetleníti egyes (IT-biztonsággal kapcsolatos) webhelyekhez való hozzáférést.

A fertőzött e-mail jellemzői

Feladó: a következők egyike, vagy egyéb, ismeretlennek tűnő e-mailcím:
– Security Team
– Internet Explorer Team
– The Jackson Brothers
– Secqrity Response

Tárgy: az alábbiak közül egy:
– Mail server upgrading info.
– Attention! Your Internet account has been…
– Don´t send this to me again!
– I´m still waiting for your reply…
– Attention!
– Internet Explorer 7.0 on the row!!
– Urgent! Symantec Security Response.
– I have received your mail.
– Sign a petition for Micael Jackson

Tartalom: előre elkészített szövegekből választ, ezek közül néhány:
Hey, why did you send this to me? I´m not going to talk to you again. You know I don´t like such kinda pics. I have painted a reply on it. I have also covered the nasty parts with dark color. Anyway check it outit is all in the attachment. Please don´t send this kind of pictures to me.
bye

Hi, how are you? I´m fine. Why didn´t you reply to me? I´m still waiting…by the way I have sent you my recent picture with the close that like most on. Please reply to me, I´m still waiting for you. I willsend you another picture next time you reply, OK.
byte

Hi,
I don´t think you know me. But one thing is happening to me. It´s your mail appearing in my inbox. I am pissed off right now.

I think it is business related mail, but I don´t have the habit to read someone else´s mail. So I have downloaded put it in the attachment. So, I want you to do something. Either change your email or change your SMTP server, in that way I may get rest and you may get your mail. But if you don´t, I´m not going to send you the message rather I am going to put it to spam. Please be fast, it´s making my mail box out of space.
Thanks in advance.

Csatolmány: egy .cab file, amely beágyazottan tartalmaz egy .exe vagy .com állományt; a file neve a következők egyike lehet:
– MyPicture
– replied
– BinaryFormat
– MicrosoftIE7.0Documentation
– Patch
– YourMail
– TempAccountInfo
– NeedHelp

A féreg paraméterei

Felfedezésének ideje: 2005. április 24.
Utolsó frissítés ideje: 2005. április 25.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: változó
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– rejtett attributummal felmásolja magát a System és a [felhasználói profil]/LOCALS~1/Applic~1/MICROS~1/Windows/ könyvtárba, a következő file-nevek valamelyikén:
. winssc32.exe
. mscppdmg.exe
. kernel32hlp.exe
. NAVctrl.exe
. dwrdgr32.exe
. gcasctrl.exe
. AVmon.exe
. winxplt.exe
. gcasAV32.exe
. LUCOMS~2.EXE
. zlbclient.exe
– létrehozza az alábbi mutexeket a megtámadott rendszeren, így tiltva le számos egyéb digitális kártevő futását:
. _-B_-I_-N_-I_-D_-O_-G_-G_-T_-H_-E_-K_-I_-N_-G_-
. – —>>>>BaDoom<<<<´;;?;;D__MUUUTEX
. – —>I|t´s a g|o|o|d t|h|i|n|g t|o37278;|o|i|n t|h|e|*|*|*|*
. s|o|c|i|e|t|y!<---
. MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
. ´D´r´o´p´p´e´d´S´k´y´N´e´t´
. -oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_.
. [SkyNet.cz]SystemsMutex
. AdmSkynetJklS003
. H-E-L-L-B-O-T
. – -oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
. ____—>>>>U<<<<--_____
– megkísérli letörölni a Microsoft Antispyware alkamazását, a Zone Labs behatolásvédelmi szoftverét és a Norton Antivirus programot, ha ezek közül bármelyik is fel van telepítve a rendszerre
– hozzáadja a “Windows Console Monitor” = “[System elérési útvonala]/[a féreg elérési útvonala]” bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/CurrentVersion/Run kulcshoz
– hozzáadja a “load” = “[felhasználói profil]/LOCALS~1/Applic~1/MICROS~1/Windows/[a féreg elérési útvonala]” bejegyzést a HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows alkulcshoz
– létrehozza a következő Registry bejegyzéseket:
. HKEY_LOCAL_MACHINE/Software/SpeedBit
. HKEY_CURRENT_USER/Software/SpeedBit
– hozzáfűzi a hosts állományhoz a következő szöveget, majd alatta számos antivírus termékekkel foglalkozó cég domainnevét, így tiltva le a hozzáférést ezekhez az oldalakhoz:
#WARNING!! Modefing this file WILL cause system instability
# Microsoft strongely reommand NOT to modify this
# defult values. If you change any entry here, you
# CANNOT access the Internet.(more info can be found at
# www.msdn.[eltávolított domain].com/hostsur~f-ol-ed0504.asp)
– létrehozza a következő állományokat, melyek a fertőzés jelzőjeként szolgálnak: a System mappában: win32infchkr.exe, a felhasználói profil könyvtárában: Windows Initialization File.ini és sntConfrm.dat
– megjelenít egy Windows fejlécű álhibaüzenetet, melyben a következőt lehet olvasni:
Error: 4047
Invalid procedure call at this time.
Press OK to terminate.
– különböző állományokból e-mailcímeket gyűjt
– felmásolja magát a következő nevek egyikén minden olyan könyvtárba, aminek nevében megtalálható a shar vagy a users sztring:
. Naked teen-Actions.com
. Norton AntiVirus 2006 Crack.exe
. ZoneAlarm Security Suite 2005 Crack.com
. Win Server 2003 Remote Exploit.cmd
. Microsoft AntiSpyware Crack.com
. DVD to MP3 converter.exe
. Admini PAssword Cracker.exe
– megkísérli önmaga felfrissített változatát letölteni bizonyos URL-ekről file1.zip vagy file2.zip néven
– saját SMTP motorja révén e-mailen keresztül továbbítja magát
– megkísérli leállítani a rendszerre telepített behatolásvédelmi szoftverek futó process-eit



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek

2018-volkswagen-arteon-photos-and-info-news-car-and-driver-photo-676567-s-original
SAN BERNARDINO, OCTOBER 29: Shipping orders go by on a conveyor belt at Amazon's San Bernardino Fulfillment Center October 29, 2013 in San Bernardino, California. Amazon's 1 million square-foot facility in the hard hit San Bernardino County has created more than 800 jobs at the center. Fulfillment centers are where products sold by other vendors on Amazon.com store their inventory. (Photo by Kevork Djansezian/Getty Images)
20170802_093113

Tesztek

Kipróbáltam a Kingston legújabb SD-kártya olvasóját

2017. augusztus 3. csütörtök
SAMSUNG CSC
SAMSUNG CSC

Mobil tesztek

Teszt: Megvizsgáltuk, milyen az új Honor 8 (video)

2017. május 23. kedd
uobelqc8

Mobil tesztek

Teszt: Megnéztük magunknak a Huawei P10 Plus-t

2017. május 4. csütörtök
SAMSUNG CSC

Laptop tesztek

Teszt: Fujitsu Lifebook U747 – A pehelysúlyú bajnok

2017. április 14. péntek
SAMSUNG CSC

Audió Eszközök

TESZT: iFrogz – Coda Wireless család

2017. április 11. kedd
SAMSUNG CSC

Okosóra tesztek

Teszt: Casio Edifice EQB-600

2017. március 28. kedd
the_english_surgeon_534448a

Alkalmazások, szoftverek

Idegesek leszünk, ha nem tölt fel elég gyorsan a selfie?

2017. február 27. hétfő