Dotkom
Már érkezik a Windows XP SP2 – vírus formájában
A Jonbarr féreg C változata azon hiszékeny felhasználókat célozza meg, akik nem kellően informáltak a Windows XP Service Packjeit illetően.
A fertőzött e-mail tulajdonságai
Feladó: ˝Microsoft˝ [support@microsoft.com]
Tárgy: WindowsXP Service Release Pack 2.002 vagy Re:hya
Csatolmány: Install.exe
Tartalom: Istall the program in the attachment.
A féreg paraméterei
Felfedezésének ideje: 2002. november 8.
Védekezés elkészültének ideje: 2002. november 11.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux
Mérete: 32.256 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű
Aktiválódása esetén lezajló események
– leellenőrzi az inf érték meglétét a HKEY_LOCAL_MACHINE/Software/PieceByPieceB Registry kulcsban
– amennyiben a fenti kulcs és érték létezik, akkor a féreg belekezd terjedési rutinjába
– ha nem létezik, akkor létrehozza a Registry kulcsot, beállítja a fenti értéket és felmásolja magát a System könyvtárba Wsys[két véletlenszerűen választott szám].exe néven, valamint a C meghajtó gyökerében a Boot64.bin állományt, amely a féreg MIME64-kódolt változata
– hozzáadja a Kernel32.dll module C:/[System elérési útonala]/wsys[két véletlenszerűen választott számjegy].exe bejegyzést a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– service processként regisztrálja magát és képes néhány behatolásvédelmi eszköz futó processét likvidálni
– október 18-án megjeleníti a cikk mellett látható ablakot
Terjedési rutin
A féreg több lehetőséget is igyekszik kihasználni elterjedése érdekében.
– megkeresi a Kazaa helyét a merevlemezen a következő Registry kulcsból: HKEY_CURRENT_USER/Software/Kazaa/Transfe/DlDir0
– felmásolja az alábbi könyvtárakba magát (ha azok léteznek):
C:/Program Files/Edonkey2000/Incoming
C:/Program Files/Bearshare/Shared
C:/Program Files/Morpheus/My Shared Folder
a következő file-nevekből egyet választván: Kmd22.exe, Winxpserial.exe, Wamp3.exe, Wmplay9.exe
– amennyiben a Mirc fel van telepítve a számítógépre, a script.ini állományát módosítja oly módon, hogy a fertőzött számítógéppel egy csatornához kapcsolódó felhasználók számára elküldje magát
– .htm és ideiglenes Internet file-okból e-mailcímeket szerez, ahova továbbítja magát a fent ismertetett karakterisztikában
[fbcomments url="https://www.technokrata.hu/egazdasag/dotkom/2002/11/12/mar-erkezik-a-windows-xp-sp2-virus-formajaban/" width="800" count="off" num="3" countmsg=""]
