Connect with us

Hirdetés

technokrata

W32.Yaha.F@mm – testvérénél agresszívabb féregvírus

Dotkom

W32.Yaha.F@mm – testvérénél agresszívabb féregvírus

A Windows Address Bookján kívül az MSN Messenger, a Yahoo Pager és az ICQ kontaktlistáját használja fel terjedésre, ráadásul megpróbálja kiiktatni a vírusvédelmet is.

A megfertőzött e-mail tulajdonságai megegyeznek a korábbi (rovatunkban már ismertetett) verzióval.

A féreg paraméterei

Felfedezésének ideje: 2002. június 17.
Védekezés elkészültének ideje: 2002. június 18.
Mérete: 29.948 byte
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Macintosh, Unix, Linux
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– megkísérli magát elküldeni az Address Bookban található összes címre, illetve az MSN Messenger, a Yahoo Pager és az ICQ kontaktlistájában található összes bejegyzésre, valamint a HT kiterjesztésű állományokból is megpróbál e-mailcímekhez jutni
– elsőként az Outlookot próbálja meg igénybe venni, ha ez nem sikerül, akkor a saját, beépített SMTP motorját használja
– a megszerzett címeket a Windows gyökérkönyvtárában tárolja egy véletlenszerűen választott 4 karakter és egy b betű összeillesztéséből álló DLL állományban(tehát például qwerb.dll)
– megjelenít egy üzenetet a képernyőn, ami az alábbiak egyike lehet:
U r so cute today #!#!
True Love never ends
I like U very much!!!
U r My Best Friend
– ezek után a Desktopot ˝összerázza˝, mint egy képernyőkímélő program

A következő események véletlenszerűen következnek be:

– megpróbálja hatástalanítani az antivirus programokat és az esetleg használatban levő tűzfalakat
– képes kihasználni a MIME-hibát, amely lehetővé teszi a féreg futtatását már akkor is, amikor még csak a levél került megnyitásra, a csatolmány nem
– bemásolja magát a Recycled könyvtárba a fent ismertett kétszer véletlen hat számból álló néven
– a HKEY_LOCAL_MACHINE/Software/Classes/exefile/shell/open/command Registry kulcsot módosítja a [WormName]˝ %1 %* bejegyzéssel, ezáltal minden alkalommal automatikusan elindul, amikor egy EXE kiterjesztésű file futtatásra kerül
– létrehoz egy véletlenszerűen elnevezett szövegfile-t a Windows könyvtárában a következő tartalommal:
<<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>
w32.yAHa.D
aUThor :H^H,h2h@achayans.com
oRigIN :inDia,kERala(gODs oWn cOUntrY)
kANagaaa ,mANdi pEnnee nJan Ninne sNEhikkunnuu..
oRu sITe kITTiyirunnegggil.. hACk CHEyyyamayirunnuuu..

<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>> <<<>>>



Szólj hozzá!

További Dotkom

Hirdetés

Népszerű

Hirdetés

Technokrata a Facebookon

Hirdetés

IoT-Magazin.hu

Hirdetés

Kütyük

Smart home

Így képzelik el a magyarok az álomotthonukat

2024. március 20. szerda

Office

Foglalj helyet, hogy helyet foglalhass!

2024. március 13. szerda

Smart home

Okoskészülék vagy hagyományos háztartási gép?

2024. február 28. szerda
owlet care babafigyelő

Smart home

OWLET CARE a magyarországi piacon!

2024. február 26. hétfő
Hirdetés

Dotkom

Műszaki-Magazin.hu

Hirdetés