Dotkom
W32.HLLW.Oror.B@mm – file-törlő, agresszív terjedésű féregvírus
Az Oror féreg B változata e-mailen, IRC-n és hálózati megosztásokon keresztül is terjed; képes bizonyos file-okat letörölni a rendszerből.
A fertőzött e-mail tulajdonságai
Egy viszonylag nagy, előre definiált adatbázisból építi fel a leveleket, vagy véletlenszerűen is összerakhat egy e-mailt.
A féreg paraméterei
Felfedezésének ideje: 2002. november 6.
Védekezés elkészültének ideje: 2002. november 6.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux
Mérete: 131.072, 139.264, 72.192, 131.072 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz
Aktiválódása esetén lezajló események
– egy hamis hibaüzenetet jelenít meg
– felmásolja magát a Windows könyvtárba egy véletlenszerűen válaszott file-néven
– hozzáadja a LoadCurrentProfile [véletlenszerűen választott file-név] powprof.dll,LoadCurrentUserProfile bejegyzést a HKEY_LOCAL_MACHINE/Software/Mcrosoft/Windows/CurrentVersion/Run Registry kulcshoz
– véletlenszerűen választ egy állományt a System könyvtárból és bemásolja magát oda az állomány nevén, 3 különböző kiegészítéssel (file-név2k.kiterjesztés, file-név16.kiterjesztés, file-név32.kiterjesztés)
– a Win.ini file-ban a következő kiegésztítést hozza létre, a [Windows] rész alatt: run=C:/[System elérési útvonala]/[féregfile]
– véletlenszerűen választ a Program Files-ban egy alkönyvtárat és oda bemásolja magát az alkönyvtár nevén három különböző kiegészítéssel (2k, 16, 32); mint fent
– hozzáadja a fenti állományokra mutató értékeket a HKEY_LOCAL_MACHINE/Software/Mcrosoft/Windows/CurrentVersion/Run Registry kulcshoz
– mindegyik ablakot lezárja, melynek neve a következő szavak bármelyikét is tartalmazza: black, panda, shield, scan, mcafee, labs, zone, alarm, agent, avp, msie, navap, mstask, webcheck, iomon, nai_vs_stat
– könyvtárak után kutat, amelyeket letöröl, ha a következő szavak bármelyike is megtalálható a nevében: labs and zone, kaspers, mcafee, panda, avp, pc, cillin, black and ice, norton and virus
– minden, a bejövő üzenetekben található e-mailcímre továbbítja magát, ehhez az alapértelmezett levelezőklienst használja fel; az üzenetek lehetnek véletlenszerűen generáltak vagy előre meghatározottak is
– a Mirc scriptfile-ját felülírva IRC-n keresztül is képes terjedni
[fbcomments url="https://www.technokrata.hu/egazdasag/dotkom/2002/11/07/w32-hllw-oror-b-mm-file-torlo-agressziv-terjedesu-feregvirus/" width="800" count="off" num="3" countmsg=""]
