Dotkom
W32.Fusic@mm – trójai képességekkel bíró féregvírus
A féreg képes meghatározni a felhasználó tartózkodási helyét (ország), és annak megfelelően változtatja álcaszövegét.
A fertőzött e-mail tulajdonságai
Négy, előre elkészített sémából választ egyet véletlenszerűen:
Tárgy: To be my friend?
Tartalom: Please look at my photos in the attachment
Csatolmány: My introduction and photos.exe
Tárgy: resume
Tartalom: Please look at my resume
Csatolmány: My resume.exe
Tárgy: Funny movie
Tartalom: Funny flash movie
Csatolmány: Funny movie.exe
Tárgy: Document you want
Tartalom: What you want is in the attachment
Csatolmány: Readme.exe
A féreg paraméterei
Felfedezésének ideje: 2002. november 22.
Védekezés elkészültének ideje: 2002. november 22.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux, OS/2
Mérete: 212.992, 24.576, 69.632 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű
Aktiválódása esetén lezajló események
– felmásolja magát a System könyvtárban található Kernel mappába Kernel32.exe néven
– létrehozza a System könyvtárban a FuncDLL.dll és a IEHelper.dll nevű állományokat
– mindkét állomány információk megszerzésére képes: az első a billentyűzet-leütést, a második pedig az Internet Explorer eseményeket figyeli
– a fent említett DLL file-ok logot készítenek a System könyvtárban Passlogx.log néven
– létrehozza a kernel [System elérési útvonala]/kernel/kernel32.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsban
– létrehozza az alábbi Registry kulcsokat is:
HKEY_LOCAL_MACHINE/SOFTWARE/kernel
HKEY_LOCAL_MACHINE/SOFTWARE/kernel/A09b37xz; ezen kulcsok belső konfigurációs adatokat tartalmaznak
– Windows 9x/Me alatt service processként regisztrálja magát, ekkor csak a számítógép leállításával lehet a féreg működését kiiktatni
– a Windows Address Bookjában található kontaktok számára elküldi magát MAPI használatával (a féreg leellenőrzi a felhasználó fizikai tartózkodási helyét, ha az Kína, akkor kínai nyelven fogalmazza meg az üzeneteket, ha nem, akkor a fent ismertetett karakterisztikában terjed)
– a távoli klienstől érkező parancsra vár
A féregben található trójai képességek kínálta lehetőségek
– rendszer- és hálózati információk kiszolgáltatása
– futó processek leállítása
– bizalmas információk megszerzése billentyűzet-leütés figyeléssel
[fbcomments url="https://www.technokrata.hu/egazdasag/dotkom/2002/11/25/w32-fusic-mm-trojai-kepessegekkel-biro-feregvirus/" width="800" count="off" num="3" countmsg=""]
