Dotkom
HTML formában (is) terjedő féregvírus
A féreg HTML-formátumban is képes terjedni, erre a hálózati megosztásokat és az IRC-t használja fel.
A féreg paraméterei
Felfedezésének ideje: 2003. február 5.
Védekezés elkészültének ideje: 2003. február 5.
Veszélyeztetett operációs rendszerek: Windows 3.x/9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Macintosh, Unix, Linux, OS/2
Mérete: 7.247 byte [vbs], 12.037 byte [htm], 607 byte [ini]
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz
Aktiválódása esetén lezajló események
– az alábbi file-okat hozza létre:
System/BootLoader.exe.vbs
C:/Win32 Strt.exe.vbs
Windows/Jokes.htm – a féreg HTML változata
Windows/Winupdate.exe – Mirc INI script
– saját magával írja felül az alábbi állományokat (ha léteznek):
Windows/Readme.htm
Windows/Htmlhelp.htm
System/Winhelp32.exe
Mirc/script.ini
– hozzáadja a BootLoader C:/WINDOWS/SYSTEM/BootLoader.exe.vbs bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– hozzáadja a Win32 Strt.EXE /Win32 Strt.exe.vbs bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices Registry kulcshoz
– minden olyan file-t felülír magával a helyi és a hálózati meghajtókon, melyeknek kiterjesztése a következők egyike: .vbs, .htm, .html, .asp, .htx és .hta
– amennyiben a HTML kód lefutott, a féreg a System könyvtárban létrehoz egy állományt (Update.vbs), amely a féreg jövőbeni update-jeit hivatott megvalósítani
– a fertőzőtt Mirc.ini script révén a Jokes.htm állományt mindenkinek elküldi, aki a fertőzőtt számítógéppel egy IRC-csatornára csatlakozik
– október 15-én megjeleníti a my b-day fejlécű üzenetet, melynek szövege: happy birthday kefi
– november 23-án megjeleníti a 11/23! fejlécű üzenetet, melynek szövege: holy sh*t! it´s 11/23
– december 25-én megjeleníti a kefi [rRlf] fejlécű üzenetet, melynek szövege: Organized religion controls the world.
– bármelyik nap is legyen a fenti három közül, létrehoz 16 darab text file-t a Startup könyvtárban, Evion(n).txt néven, ahol az n egy 0 és 15 közé eső egész szám
– a fenti, 50 sorból álló állományokat mind megjeleníti az alapértelmezett szövegszerkesztővel a következő rendszerindításkor
– minden egyéb nap esetén létrehoz egy szöveges állományt a Desktopon, melynek neve: [nap] – [hónap].vir.txt, szövege pedig: today you did not experience the payload of Vbs.Evion
sorry..
kefi [rRlf]
[fbcomments url="https://www.technokrata.hu/egazdasag/dotkom/2003/02/06/html-formaban-is-terjedo-feregvirus/" width="800" count="off" num="3" countmsg=""]
