Dotkom
Videofile-nak álcázott féregvírus
A Blackmal C változata videoállománynak is igyekszik álcázni magát, hogy meglapulhasson a fertőzött rendszerben.
A féreg paraméterei
Felfedezésének ideje: 2004. szeptember 6.
Utolsó frissítés ideje: 2004. szeptember 6.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nem ismert
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű
Aktiválódása esetén lezajló események
– megnyitja a Windows Media Playert
– felmásolja magát a System könyvtárba különböző neveken, többek között olyanokon is, melyeknek kettős kiterjesztésük van, s a második kiterjesztés számos szóközzel az első után található, megtévesztendő a számítógép tulajdonosát
– felmásolja magát a /winnt/volume mappába winhelp.exe és twunk_32.exe névvel
– létrehozza a System könyvtárban az About_Blackworm.C.txt és az ossmtp.dll állományokat
– hozzáadja az alábbi értékeket a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz:
. (default)=C:/winnt/volume/[twunk_32.exe]
. (default)=C:/winnt/volume/[twunk_32.exe]
– további Registry módosításokat is végez:
. NoBetaMessage=1 HKEY_CURRENT_USER/Software/Nico Mak Computing/WinZip/caution
. Name=BlackWorm és SN=2AD00ED6 HKEY_CURRENT_USER/Software/Nico Mak Computing/WinZip/WinIni
– több Registry kulcsból is kitörli az alábbi értékeket:
. _Hazafibb
. au.exe
. ccApp
. defwatch
. Explorer
. erthgdr
. gigabit.exe
. JavaVM
. KasperskyAv
. key
. MCUpdateExe
. MCAgentExe
. McRegWiz
. McVsRte
. McAfeeVirusScanService
. msgsvr32
. NPROTECT
. NAV Agent
. Norton Antivirus AV
. OLE
. PCClient.exe
. PCCIOMON.exe
. pccguide.exe
. PccPfw
. PCCClient.exe
. rtvscn95
. reg_key
. ScriptBlocking
. SSDPSRV
. system
. Sentry
. ssate.exe
. Services
. tmproxy
. Taskmon
. Traybar
. Task
. VirusScan Online
. VSOCheckTask
. vptray
. Windows Services Host
. winupd.exe
. Windows Update
. win_upd.exe
. winupdt
. wersds.exe
– megkísérli letörölni az alábbi állományokat a következő könyvtárakból (már ha azok léteznek):
• Program Files/Norton AntiVirus/*.exe
• Program Files/McAfee/McAfee VirusScan/Vso/*.*
• Program Files/McAfee/McAfee VirusScan/Vso
• Program Files/McAfee/McAfee VirusScan/Vs
• Program Files/Trend Micro/PC-cillin 2002/*.exe
• Program Files/Trend Micro/PC-cillin 2003/*.exe
• Program Files/Trend Micro/Internet Security/*.exe
• Program Files/NavNT/*.exe
• Program Files/HyperTechnologies/Deep Freeze/*.exe
[fbcomments url="https://www.technokrata.hu/egazdasag/dotkom/2004/09/07/videofile-nak-alcazott-feregvirus/" width="800" count="off" num="3" countmsg=""]
