Dotkom
Nem minden e-mail vírusmentes, ami annak látszik…
Az előző változathoz képest immár még több antivírus céget használ fel álcázásra a Netsky O változata.
A fertőzött e-mail jellemzői
Feladó: hamis e-mailcím
Tárgy: több részből áll össze; néhány példa a -jellemző sztringekre:
– Re: Encrypted Mail
– Re: Extended Mail
– Re: Status
– Re: Notify
– Re: SMTP Server
– Re: Mail Server
– Re: Delivery Server
– Re: Bad Request
– Re: Failure
– Re: Thank you for delivery
– Re: Test
– Re: Administration
– Re: Message Error
– Re: Error
– Re: Extended Mail System
– Re: Secure SMTP Message
– Re: Protected Mail Request
– Re: Protected Mail System
– Re: Protected Mail Delivery
– Re: Secure delivery
– Re: Delivery Protection
– Re: Mail Authentification
Tartalom: egy sok elemből álló listából válogat, a levéltörzs végén a következő szövegek valamelyike áll:
+++ Attachment: No Virus found
+++ Panda AntiVirus – You are protected
+++ www.pandasoftware.com
+++ Attachment: No Virus found
+++ Norman AntiVirus – You are protected
+++ www.norman.com
+++ Attachment: No Virus found
+++ F-Secure AntiVirus – You are protected
+++ www.f-secure.com
+++ Attachment: No Virus found
+++ Norton AntiVirus – You
Csatolmány: egyike a következőknek:
– readme.pif
– document.pif
– data.pif
– details.pif
– msg.pif
– message.pif
A féreg paraméterei
Felfedezésének ideje: 2004. március 17.
Utolsó frissítés ideje: 2004. március 17.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Macintosh, UNIX, Linux, OS/2
Mérete: 16.384 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz
Aktiválódása esetén lezajló események
– létrehoz egy mutexet, így csak egyszer kerülhet futtatásra a féreg
– bemásolja magát a Windows könyvtárba AVBgle.exe névvel
– létrehozza a Windows könyvtárban a féreg MIME-kódolt állományát, base64.bmp (22.456 byte) néven
– hozzáadja a MSInfo = [Windows elérési útvonala]/AVBgle.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– letörli HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsból az alábbi bejegyzéseket:
. Explorer
. system.
. msgsvr32
. au.exe
. service
. DELETE ME
. d3dupdate.exe
. OLE
. Sentry
. gouday.exe
. rate.exe
. Taskmon
. Windows Services Host
. sysmon.exe
. srate.exe
. ssate.exe
– letörli a system. bejegyzést a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run kulcsból
– letörli HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsból az alábbi bejegyzéseket:
. gouday.exe
. rate.exe
. au.exe
. OLE
. Taskmon
. Explorer
. Windows Services Host
. sysmon.exe
. srate.exe
. ssate.exe
– letörli a HKEY_CLASSES_ROOT/CLSID/{E6FB5E20-DE35-11CF-9C87-00AA005127ED}/InProcServer32; a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/PINF és a HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/WksPatch Registry kulcsokat
– e-mailcímeket gyűjt a következő kiterjesztéssel bíró állományokból: .eml, .txt, .php, .pl, .htm, .html, .vbs, .rtf, .uin, .asp, .wab, .doc, .adb, .tbb, .dbx, .sht, .oft, .msg, .shtm, .cgi, .dhtm
– saját SMTP-motorját felhasználva a fenti eljárással begyűjtött e-mailcímekre továbbítja magát (igen változó karakterisztikában), melyhez a helyi DNS szervert használja fel
[fbcomments url="https://www.technokrata.hu/egazdasag/dotkom/2004/03/18/nem-minden-e-mail-virusmentes-ami-annak-latszik/" width="800" count="off" num="3" countmsg=""]
