Dotkom
Válaszlevélként érkezőnek tűnik a legújabb Beagle-lel fertőzött e-mail
Újra itt van az idei év egyik legmutagénebb férge; a Beagle ezúttal már az AR-edik változatánál jár.
A fertőzött levél tulajdonságai
Feladó: [hamis cím]
Tárgy: a következők egyike:
– Re:
– Re: Hello
– Re: Hi
– Re: Thank you!
– Re: Thanks 🙂
Tartalom: :))
Csatolmány: az alábbiak egyike .com, .cpl, .exe vagy. scr kiterjesztéssel:
– Price
– price
– Joke
A féreg paraméterei
Felfedezésének ideje: 2004. szeptember 28.
Utolsó frissítés ideje: 2004. szeptember 29.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 23.541 byte, 18.758 byte, 21.322 byte
Fertőzések száma: 50-999
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: közepesen nehéz
Aktiválódása esetén lezajló események
– hét mutexet is létrehoz, ezzel akadályozandó meg az egyes Netsky változatok memóriába való betöltődését:
. MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
. ´D´r´o´p´p´e´d´S´k´y´N´e´t´
. -oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
. [SkyNet.cz]SystemsMutex
. AdmSkynetJklS003
. _—>>>>U<<<<--____
. _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
– létrehozza az alábbi állományokat a System mappában:
. bawindo.exe
. bawindo.exeopen
. bawindo.exeopenopen
– hozzáadja a bawindor=[System elérési útvonala]/bawindo.exe bejegyzést az alábbi Registry kulcshoz: HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
– leállítja a rendszerre telepített behatolásvédelmi programok és az esetlegesen jelen levő férgek futó process-eit
– megkísérli önmaga másolatait létrehozni azokban a mappákban, melyeknek nevében megtalálható a shar sztring; ehhez számos, figyelemfelkeltő nevet használ; néhány példa:
. Microsoft Office 2003 Crack, Working!.exe
. Microsoft Windows XP, WinXP Crack, working Keygen.exe
. Microsoft Office XP working Crack, Keygen.exe
. Porno, sex, oral, anal cool, awesome!!.exe
. Porno Screensaver.scr
. Serials.txt.exe
. KAV 5.0
. Kaspersky Antivirus 5.0
– e-mailcímek után kutat különböző állományokban, majd saját SMTP-motorja révén továbbítja is magát ezekre a címekre (néhány kivétellel)
– megnyitja a 81-es UDP és TCP portokat a fertőzött gépen, ezzel e-mail relay-t csinálva a PC-ből
– különböző weboldalakról megkísérel letölteni egy file-t; sajnos, okulva az antivírus cégek és a Microsoft korábbi erőfeszítéseből, rengeteg webcímről le tudja szedni a fenti állományt, így a kérdéses szerverek mindegyikének kiiktatása már minden bizonnyan nem sikerülhet
[fbcomments url="https://www.technokrata.hu/egazdasag/dotkom/2004/09/30/valaszlevelkent-erkezonek-tunik-a-legujabb-beagle-lel-fertozott-e-mail/" width="800" count="off" num="3" countmsg=""]
