Dotkom
Weboldalakat elérhetetlenné tevő féregvírus
A Cone C változata némi módosítás révén eléri, hogy többé nem lehet a fertőzött számítógépről elérni bizonyos – például pont a digitális kártevők elleni eszközöket fejlesztő – cégek weboldalait.
A fertőzött e-mail jellemzői
Feladó: hamis e-mailcím
Tárgy: a következők valamelyike:
– How cute is your credit card number!! :))
– E-mail account disabling warning for [név]
– RE: [név]
– i have your password 🙂
– RE: Thank You!
– RE: details ([név])
– Password Reset For [név]
– Undelivered Mail Returned to Sender ([név])
– about you
– Your account ([név]) will be closed
– Your IP has been logged
– Mail Delivery System ([név])
– Mail Transaction Failed ([név])
– IMPORTANT
– Confidential user information!
Csatolmány: az alábbiak egyike:
– unknown.exe
– unknown.scr
– document.exe
– document.scr
– nothing.exe
– nothing.scr
– password.exe
– password.scr
– information.exe
– information.scr
– hello.exe
– hello.scr
– text.txt.exe
– untitled.exe
– secret!!.exe
– unknown1.exe
– CoolText.exe
– EULA-USA.exe
– readmeUS.exe
– [véletlenszerűen generált karakterek].zip
A féreg paraméterei
Felfedezésének ideje: 2004. március 9.
Utolsó frissítés ideje: 2004. március 9.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 16.833 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű
Aktiválódása esetén lezajló események
– felmásolja magát a Windows tasks könyvtárába svchost.exe néven, illetve a System könyvtárba a következő állományokként:
. 01enel.dll
. 01check.dll
. 01eml.dll
. 01seml.dll
. 01url.dll
. 01vis.dll
– létrehozza a Windows könyvtárban a nem virulens Cyclone.v0.00002.htm file-t
– bemásolja magát WebCheck.pif néven a következő könyvtárakba:
. C:/Documents and Settings/All Users/Start Menu/Programs/Startup
. C:/Documents and Settings/[aktuális felhasználó]/Start Menu/Programs/Startup
– létrehozza a Temp könyvtárban a Doc állományt, melyet ezt követően Notepaddel nyit meg; a szöveg a Microsoft EULA-jára hasonlít
– létrehozza a %s!!!Bugs-Fixed! nevű mutexet
– létrehozza vagy felülírja a System könyvtárban levő drivers/etc/hosts mappa állományát a következő szöveggel:
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com|
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 microsoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 support.microsoft.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com
127.0.0.1 localhost
– a fenti módosításnak ˝köszönhetően˝ lehetetlenné teszi a fenti domainekhez való hozzáférést
– amennyiben a Kazaa fel van telepítve a fertőzött rendszerre, bemásolja magát a szoftver fogadott file-ok könyvtárába a következő neveken:
. Strip Girls-part%d.scr
. Sky lopez – Screensaver.scr
. Playboy Screensaver Dec 2003.scr
. Winamp5.01.exe
– létrehoz egy végrehajtási szálat annak érdekében, hogy folyamatosan beállítsa a Monitoring Service=[Windows elérési útvonala]/tasks/svchost.exe bejegyzést a következő két Registry kulcsban:
. HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
– átnézi a következő mappákat .mbx, .wab, .html, .eml, .htm, .asp, .shtml, .txt,és .dbx kiterjesztésű file-ok után kutatva:
. Internet Cache
. My Documents
. a Mozilla böngésző Default profilja
. Microsoft Address Book
. Outlook Express
– amennyiben talál ilyen állományokat, kigyűjti a bennük található e-mailcímeket, majd saját SMTP-motorja révén továbbítja is önmagát ezekre a címekre
[fbcomments url="https://www.technokrata.hu/egazdasag/dotkom/2004/03/10/weboldalakat-elerhetetlenne-tevo-feregvirus/" width="800" count="off" num="3" countmsg=""]
