Dotkom
W97M.Hopel.A – rendszermódosító makróvírus
Naptól függően aktiválja romboló funkcióit a makróvírus.
A makróvírus paraméterei
Felfedezésének ideje: 2003. február 5.
Utolsó frissítés ideje: 2003. február 6.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me, Macintosh
Nem érintett operációs rendszerek: Windows 3.x, Microsoft IIS, Unix, OS/2
Mérete: egy VBA modulnyi
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű
Aktiválódása esetén lezajló események
– a fertőzött állomány megnyitása után megfertőzi a Normal.dot file-t
– ezek után egy üres dokumentum megnyitása után a makróvírus rögtön beilleszti magát a file-ba
– vírusos dokumentum megnyitása után a következő eseményen következnek be:
– egy csak olvasható, rejtett attributummal bíró állományba (C:/Windows/Command/Nt.txt) elmenti a fertőzött állomány másolatát
– felülírja az autoexec.bat file-t nem-ASCII karakterekkel
– egy vagy több rendszermódosító funkciót is futtathat
További funkciók
– amennyiben október 21-e van, a makróvírus módosítja a s1159 PUKKA és a s2359 PUKKA bejegyzéseket a HKEY_USERS/.Default/Control Panel/International Registry kulcsban
Hétfő
– letörli a System könyvtárban található Epson9.drv file-t
– átnevezi a következő állományokat:
C:/Windows/System/Netbeaui.vxd – Iuebten.vxd
C:/Windows/Command/Command.com – Dnammoc.com
C:/Command.com – Dnammoc.com
C:/Windows/System/Mouse.drv – Esuom.drv
– módosítja a HKEY_USERS/.Default/Control Panel/International Registry kulcs sDecimal $ értékét
– a fertőzött dokumentum jelszavát 013000-ra állítja
Kedd
– átnevezi a következő állományokat:
C:/Windows/System/Cm8330.drv – 0339mc.drv
C:/Windows/System/cm8330.vxd – 0338mc.vxd
C:/Windows/System/vmm32.vxd – 23mmv.vxd
– módosítja a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/MS-DOSOptions/DOSSettings Registry kulcs következő bejegyzését: Config.Sys DOS=SINGLE
Szerda
– átnevezi a következő állományokat:
C:/Windows/System/Dplay.dll – Yalpd.dll
C:/Windows/System/Dplayx.dll – Xyalpd.dll
C:/Windows/System/vmm32.vxd – 23mmv.vxd
– a fertőzött dokumentum jelszavát 013000-ra állítja
Csütörtök
– átnevezi a C:/Windows/System/vmm32.vxd állományt 23mmv.vxd-re
Péntek
– átnevezi a C:/Windows/System/Sage.dll állományt egas.dll-re
Szombat
– átnevezi a C:/Windows/System/Comdlg32.dll állományt 23gldmoc.dll-re
véletlenszerűen
– átnevezi a következő állományokat:
C:/Windows/System/Ndis.vxd – Sidn.vxd
C:/Windows/System/Nwlink.vxd – Knilwn.vxd
C:/Windows/System/Vredir.vxd – Riderv.vxd
[fbcomments url="https://www.technokrata.hu/egazdasag/dotkom/2003/02/07/w97m-hopel-a-rendszermodosito-makrovirus/" width="800" count="off" num="3" countmsg=""]
