Dotkom
Információtolvaj féregvírus
PDF állományokat tulajdonít el a fertőzött rendszerből a Myfip nevű féreg, mely hálózati megosztások révén terjed.
A féreg paraméterei
Felfedezésének ideje: 2004. augusztus 4.
Utolsó frissítés ideje: 2004. augusztus 5.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 24.500 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű
Aktiválódása esetén lezajló események
– létrehozza az fjsy nevű mutexet, így akadályozván meg, hogy többször is betöltődésre kerüljön
– bemásolja magát a System könyvtárba Dfsvc.exe néven
– FTP-vel letölti az ip.domain nevű állományt a net918.meibu.com domainről
– ez az állomány szerver- és felhasználóneveket tartalmaz, valamint jelszavakat más FTP-szerverekhez
– hozzáadja a Distributed File System=Dfsvc.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– helyi hálózaton megosztott könyvtárakat keres, s amennyiben talál ilyet, megkisérli magát felmásolni oda Iloveyou.txt.exe néven
– ha a másik számítógépre való behatolás azonosítást igényel, akkor Administrator néven megpróbál bejelentkezni, ehhez számos jelszót végigpróbálgat
– amennyiben sikerült a csatlakozás, létrehozza a távoli számítógépen a //Admin$/system32/ mappában a következő állományokat: temp.txt, Dfsvc.exe, dltksvc.exe
– ez utóbbit aztán Distributed Link Tracking Extensions néven service-ként regisztrálja is, melynek az a feladata, hogy a Dfsvc.exe file-t adminisztrátori privilégiumokkal futassa
– PDF állományok után kutat, s az összeset, amit talált, elküldi az ip.domainben található FTP-szerverekhez
[fbcomments url="https://www.technokrata.hu/egazdasag/dotkom/2004/08/06/informaciotolvaj-feregvirus/" width="800" count="off" num="3" countmsg=""]
