Dotkom
Tűzfalakat kicselező féreg
A Bagz nevű féreg mind a Windows saját, mind az egyéb helyi tűzfalakat igyekszik megkerülni.
A fertőzött levél tulajdonságai
Feladó: [hamis cím]
Tárgy: egy több elemből álló listából válogat, néhány példa:
– Re: User ID Update
– Fwd: Your Funds are Eligible for Withdrawal
– find a solution with this customer
– No Subject
– Re: Help Desk Registration
– failure notice
– Fwd: Password
Tartalom: ugyanaz igaz rá, mint a tárgyra, néhány példa:
Hello,
Sorry, I forgot to attach the new contact information.
Please view the attached (.pdf) contact sheet.
Sincerely,
User
Hello,
I resent this email as attachment because
it was previously blocked by your email filters.
Please read the attachment and respond.
Thanks,
User
Hello,
I was in a hurry and I forgot to attach an important
document. Please see attached.
Best Regards,
User
Hello,
Your email was received.
YOUR REPLY IS URGENT!
Please view the attached text file for instructions.
Regards,
User
Csatolmány: vagy egy kettős kiterjesztéssel (.doc[sok szóköz].exe) vagy pedig ZIP formátumban érkezhet a fertőzött állomány, melynek neve olyan egyszerű szavakból kerülhet ki, mint az alábbiak:
– read
– readme
– contact
– mail
– att
– warning
– db
– msg
– message
– messages
– archive
– arch
– support
– account
A féreg paraméterei
Felfedezésének ideje: 2004. október 4.
Utolsó frissítés ideje: 2004. október 4.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: nem ismert
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: kicsi
Eltávolítása: közepesen nehéz
Aktiválódása esetén lezajló események
– létrehozza önmaga másolatát a System mappában tutorial.doc[számos szóköz].exe néven
– hozzáadja a syslogin.exe=syslogin.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz, így a Windows minden egyes indulásakor betöltődik a memóriába
– a System könyvtárban létrehozza a dl.exe és a syslogin.exe nevű file-okat
– letiltja a Windows tűzfalát
– távolról letölt és futtat állományokat
– feltelepíti saját hálózati meghajtóját annak érdekében, hogy kikerülhesse a helyi tűzfalakat
– e-mailcímeket gyűjt a következő kiterjesztéssel bíró állományokból: .txt, .htm, .dbx, .tbi, .tbb
– ezekre a címekre aztán továbbítja önmagát
[fbcomments url="https://www.technokrata.hu/egazdasag/dotkom/2004/10/05/tuzfalakat-kicselezo-fereg/" width="800" count="off" num="3" countmsg=""]
