Dotkom
Ismét terjed a Beagle féregvírus
A tegnapi nap során szerkesztőségünket is ˝megbombázta˝ több másolata a Beagle féreg AQ változatának, viszont kárt tenni a folyamatosan karban tartott adatbázisú antivírus szoftvereink miatt nem tudott.
A féreg paraméterei
Felfedezésének ideje: 2004. augusztus 31.
Utolsó frissítés ideje: 2004. szeptember 1.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 12.800 byte, 18.436 byte, 9.728 byte, 4.996 byte, 9.728 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: könnyű
Aktiválódása esetén lezajló események
– létrehozza az alábbi állományokat a System mappában:
. windll.exe
. windll.exeopen
. windll.exeopenopen
– hozzáadja az erthgdr=[System elérési útvonala]/windll.exe bejegyzést az alábbi Registry kulcshoz: HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
– hét mutexet is létrehoz, ezzel akadályozandó meg az egyes Netsky változatok memóriába való betöltődését:
. MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
. ´D´r´o´p´p´e´d´S´k´y´N´e´t´
. -oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
. [SkyNet.cz]SystemsMutex
. AdmSkynetJklS003
. _—>>>>U<<<<--____
. _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
– leállítja a rendszerre telepített behatolásvédelmi programok futó process-eit
– megkísérli önmaga másolatait létrehozni azokban a mappákban, melyeknek nevében megtalálható a shar sztring; ehhez számos, figyelemfelkeltő nevet használ; néhány példa:
. Microsoft Office 2003 Crack, Working!.exe
. Microsoft Windows XP, WinXP Crack, working Keygen.exe
. Microsoft Office XP working Crack, Keygen.exe
. Porno, sex, oral, anal cool, awesome!!.exe
. Porno Screensaver.scr
. Serials.txt.exe
. KAV 5.0
. Kaspersky Antivirus 5.0
– különböző weboldalakról megkísérel futtatni egy PHP-scriptet (re_file.exe); sajnos, okulva az antivírus cégek és a Microsoft korábbi erőfeszítéseből, rengeteg webcímről le tudja szedni a fenti állományt, így a kérdéses szerverek mindegyikének kiiktatása már minden bizonnyan nem sikerülhet
– e-mailcímek után kutat különböző állományokban, majd saját SMTP-motorja révén továbbítja is magát ezekre a címekre (néhány kivétellel); a csatolmánya ezeknek a leveleknek fotos.zip, ami a foto.html és a foto1.exe állományokat tartalmazza
– létrehozza a System könyvtárban a következő file-okat:
. Doriot.exe (a foto1.exe másolata)
. Gdqfw.exe (letöltőmodul)
– hozzáadja a wersds=[System elérési útvonala]/doriot.exe bejegyzést a következő kulcsokhoz:
. HKEY_CURRENT_USER/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/Microsoft/Windows/CurrentVersion/Run
– hátsó kaput hoz létre a fertőzött rendszeren a 80-as TCP és UDP portok megnyitásával, így az áldozatul esett számítógép a továbbiakban e-mail relay-ként funkcionálhat
[fbcomments url="https://www.technokrata.hu/egazdasag/dotkom/2004/09/02/ismet-terjed-a-beagle-feregvirus/" width="800" count="off" num="3" countmsg=""]
