Dotkom
Titkaink ellopására utazik a Bugbear féregvírus
A Bugbear neve ismerősen csenghet azoknak, akik már tavaly is figyelemmel követték a digitális kártevők történelmét; a régi féreg most új köntösben, adataink megszerzése céljából tért vissza.
A fertőzött e-mail jellemzői
Feladó: természetesen meghamisított cím; származhat a begyűjtött listáról, de a féreg rendelkezik egy 1900 elemből álló listával is, melyről bármelyiket beillesztheti küldőnek
Tárgy: egy sok elemből álló listából válogat, néhány példa:
. Hello!
. update
. hmm..
. Payment notices
. Just a reminder
. Correction of errors
. history screen
. Announcement
. various
. Introduction
. Interesting…
. I need help about script!!!
. Your Gift
. Re:
. good news!
. Your News Alert
. Hi!
. !!! WARNING !!!
Csatolmány: véletlenszerűen választ egy file-nevet a fertőzött számítógépről, s vagy .zip vagy .htm kiterjesztést ad neki
A féreg paraméterei
Felfedezésének ideje: 2004. április 5.
Utolsó frissítés ideje: 2004. április 6.
Veszélyeztetett rendszerek: Windows 9x/NT/2k/XP/Me/2k3
Nem érintett rendszerek: Windows 3.x, Macintosh, Unix, Linux
Mérete: 52.736 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: könnyű
Aktiválódása esetén lezajló események
– felmásolja magát a System könyvtárba egy véletlenszerűen létrehozott file-névvel (EXE kiterjesztéssel)
– ugyanitt létrehoz három, véletlenszerű nevet kapott DLL állományt, ezek egyike a PWS.Hooker.Trojan nevű trójai program; a másik kettő nem veszélyes
– hozzáadaja a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Internet Settings/EnableAutodial kulcsot a rendszerleíró adatbázishoz
– hozzáadja a [véletlenszerű érték] = [System elérési útvonala]/[véletlenszerűen létrehozott file-név].exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– megkísérli leállítani a rendszerre telepített behatolásvédelmi szoftverek futó process-eit
– a fertőzött PC e-mailkliensének inboxából és a következő állományokból kigyűjti a kontaktok elérhetőségét: .ODS, .MMF, .NCH, .MBX, .EML, .TBB, .DBX
– saját SMTP-motorja révén továbbítja magát a begyűjtött e-mailcímekre
– feltérképezi a személyes információkat (cookie-k, leütött billentyűgombok, szöveg a megnyitott ablakokból stb.), majd továbbítja azokat alkotójának
[fbcomments url="https://www.technokrata.hu/egazdasag/dotkom/2004/04/07/titkaink-ellopasara-utazik-a-bugbear-feregvirus/" width="800" count="off" num="3" countmsg=""]
