Dotkom
W32.Heovin@mm – trójai képességekkel bíró féregvírus
A Visual Basic-ben írt féreg alaposan átvariálja a rendszerleíró adatbázist – még az Internet Explorer kezdőlapját is megváltoztatja.
A fertőzött e-mail tulajdonságai
Tárgy: Flash funny pic vagy Check This update
Csatolmány: Funnyflush.pif
Tartalom: Check dis out!
A féreg paraméterei
Felfedezésének ideje: 2002. december 6.
Védekezés elkészültének ideje: 2002. december 6.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux, OS/2
Mérete: 118.784 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz
Aktiválódása esetén lezajló események
– a következő helyre másolja be magát: C:/[Windows elérési útvonala]/Start menu/programs/startup/Dosreg.com; rejtett attributummal
– felmásolja a Temp könyvtárba a funnyflush.pif állományt, szintén rejtett attributummal
– hozzáadja a MSKernel32 C:/[Windows elérési úvonala]/Start menu/programs/startup/Dosreg.com bejegyzést a következő Registry kulcsokhoz:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
– a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Installer Registry kulcshoz a következő két értéket adja hozzá:
MSSetup [egy szám]
MSQM 0
– a HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main Registry kulcsban található Explorer kezdőlapot megváltoztatja a következőre: http://user1.7host.com/lupinIII/updates/relist.asp?fsdf=sdjk&xc=[véletlenszerűen választott betűk]
– létrehozza a a mIRC könyvtárában a Script.ini állományt, majd ezt úgy állítja be, hogy az automatikusan elküldje az IRC-elők számára a Funnyflush.pif állományt
– a Registry-ből kikeresi a Windows Address Bookot és az Outlook segítségével továbbítja magát a címlistában található kontaktok számára
– létrehozza a ~dP00Z1.tmp állományt a Temp könyvtárban; itt tárolja a TCP port számait, amelyeken megpróbál kapcsolatot létesíteni alkotójával
A féreg nyújtotta lehetőségek
– a kapcsolatra használt TCP port számának megváltoztatása
– hálózati és rendszerinformációk elküldése
– file-ok fel- és letöltése
– a file-rendszer feletti teljes uralom megszerzése
– zavaró műveletek (például a háttérkép megváltoztatása) végrehajtása
[fbcomments url="https://www.technokrata.hu/egazdasag/dotkom/2002/12/09/w32-heovin-mm-trojai-kepessegekkel-biro-feregvirus/" width="800" count="off" num="3" countmsg=""]
