Dotkom
VBS.Gpremier@mm – file-törlő féregvírus
Precíz, időzített működésű féreggel állunk szemben – működési mechanizmusa kíméletlenül halad előre minden egyes reboot által.
A fertőzött e-mail paraméterei
Tárgy: NO estimado Bill G.
Tartalom:
Hola que tal,
Aqui le adjunto los precios para su funeraria.
Csatolmány: gpremier.vbs
A féreg tulajdonságai
Felfedezésének ideje: 2003. február 5.
Védekezés elkészültének ideje: 2003. február 5.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux, OS/2
Mérete: 8.204 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz
Aktiválódása esetén lezajló események
– bemásolja magát a System könyvtárba Gpremier.vbs néven
– hozzáadja a gpremier ˝wscript.exe c:/windows/system/gpremier.vbs %˝ bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– a HKEY_CURRENT_USER/software/gpremier Registry kulcsban leellenőrzi a HTML értéket, amennyiben az nem 1, a féreg minden HTML file-ba beleírja a VBS.CandyLove vírust, majd a fenti értéket 1-re állítja
– ugyanebben a Registry kulcsban leellenőrzi a correo bejegyzést, amennyiben az nem 1, a féreg a fent ismertetett karakterisztikában továbbküldi magát minden, Outlook Address Bookban található kontakt számára, majd a fenti bejegyzés értékét 1-re változtatja
– az Internet Explorer kezdőlapját megváltoztatja a http://www.gpremier.com.mx URL-re
– megváltoztatja az Internet Explorer ablak fejlécét a HKEY_USERS/.DEFAULT/SOFTWARE/Microsoft/Internet Explorer/Main/Window title Registry kulcsban található Window title érték módosításával (Perteneces al TecPremier)
– leellenőrzi a colgar bejegyzés értékét a HKEY_CURRENT_USER/software/gpremier Registry kulcsban
– amennyiben a fenti érték még nem lett meghatározva, azt 0-ra állítja; ha nagyobb vagy egyenlő 10-nél, 101-szer elindítja a Notepadet; ha nulla és 10 közé esik, akkor növeli az értéket eggyel
– ugyanebben a Registry kulcsban leellenőrzi a borrar bejegyzést
– amennyiben még nincs meghatározva, a féreg azt 0-ra állítja; ha 3 vagy annál nagyobb, akkor azt 0-ra állítja és letörli a következő állományokat:
összes JPG és BMP a Windows könyvtárból
összes állomány a C:/Windows/Escritorio és a C:/misdoc~1/ könyvtárból
– ha ez az érték 0 és 3 közé esik, megnöveli eggyel
– felmásolja magát a következő nevek egyikén: Leme.txt.vbs, Importante.txt.vbs, Archivo.vbs, Juegos.vbs, Mensaje.txt.vbs, Solitario.vbs
[fbcomments url="https://www.technokrata.hu/egazdasag/dotkom/2003/02/09/vbs-gpremier-mm-file-torlo-feregvirus/" width="800" count="off" num="3" countmsg=""]
