Connect with us

technokrata

MP3-akat törlő féreg szaporodik

Dotkom

MP3-akat törlő féreg szaporodik

Digitális zenénk megsemmisítésére utazik a W32.Nopir.A féreg.

A féreg paraméterei

Felfedezésének ideje: 2005. április 27.
Utolsó frissítés ideje: 2005. április 28.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: változó
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– megfigyeli a debbuger és a process-monitorozó eszközök használatát; a féreg ezek működése alatt leállítja magát, hogy elkerülje “lebukását”
– megjeleníti a fent látható üzenetet
– hozzáadja a “securw” = “C:/Program Files/Projects Visual Studio.NET/Nctrup.exe” és a “Verif” = “C:/Program Files/Restore/vxst.exe” bejegyzéseket a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– letiltja a Taskmanager és a Registry módosító eszközök használatát a HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Policies/System kulcs két bejegyzésének következő módon való megváltoztatásával:
. “DisableTaskMgr” = “1”
. “DisableRegistryTools” = “1”
– hozzáadja a “[default]” = “C:/Program Files/Projects Visual Studio.NET/Nctrup.exe” bejegyzést az alábbi Registry kulcsokhoz:
. HKEY_CLASSES_ROOT/exefile/shell/open/command
. HKEY_CLASSES_ROOT/batfile/shell/open/command
. HKEY_CLASSES_ROOT/cmdfile/shell/open/command
. HKEY_CLASSES_ROOT/comfile/shell/open/command
. HKEY_CLASSES_ROOT/piffile/shell/open/command
. HKEY_CLASSES_ROOT/vbsfile/shell/open/command
. HKEY_CLASSES_ROOT/vbefile/shell/open/command
. HKEY_CLASSES_ROOT/scrfile/shell/open/command
. HKEY_CLASSES_ROOT/regfile/shell/open/command
. HKEY_LOCAL_MACHINE/SOFTWARE/Classes/exefile/shell/open/command
. HKEY_LOCAL_MACHINE/SOFTWARE/Classes/batfile/shell/open/command
. HKEY_LOCAL_MACHINE/SOFTWARE/Classes/cmdfile/shell/open/command
. HKEY_LOCAL_MACHINE/SOFTWARE/Classes/comfile/shell/open/command
. HKEY_LOCAL_MACHINE/SOFTWARE/Classes/piffile/shell/open/command
. HKEY_LOCAL_MACHINE/SOFTWARE/Classes/vbsfile/shell/open/command
. HKEY_LOCAL_MACHINE/SOFTWARE/Classes/vbefile/shell/open/command
. HKEY_LOCAL_MACHINE/SOFTWARE/Classes/scrfile/shell/open/command
. HKEY_LOCAL_MACHINE/SOFTWARE/Classes/regfile/shell/open/command
– a fenti változtatásoknak köszönhetően ha futtatásra kerül egy, a fenti kategóriába beeső állomány (például EXE, BAT, VBE stb.), akkor a féreg töltődik be a memóriába
– letörli az összes olyan állományt a megtámadott rendszeren, ami .com vagy .mp3 kiterjesztéssel rendelkezik



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek