Dotkom
Jelszóhalász támadásokra figyelmeztető féreg
Napjaink egyre nagyobb fenyegetésévé válik a phishing, melyről fontos minden internetezőnek informálódnia. De nem e-mail útján, különösen nem féreggel fertőzött e-mail útján!
A fertőzött levél tulajdonságai
Feladó: scamalert@antiscam.com
Címzett: meghamisított e-mailcím
Tárgy: a következők egyike:
– Fw: Reminder to be aware of internet scams
– Re: Have you been a victim to internet scams
– A friendly reminder to ALL online bank users
– Fw: Dont be another victim..!!
– PHISHING the new way of internet banking scams
– Re: Help stop the internet scammers
– Fw: WARNING are a online banker..??
– Re: Gone phishing online.?? Well others have.!!
– Have you been hooked by an online PHISHERMAN..???
– Fw: Could you tell if you have been scammed online.??
Tartalom: To whom it may concern,
We at antiscam.com are just warning all the online banking account users to watch out for suspicious emails and web sites. If you would like to know more about how to report and avoid being a victim to another new internet scam then please read the attached file. Thank you for your time.
Csatolmány: Scmhlpr.vbs
A féreg paraméterei
Felfedezésének ideje: 2004. december 14.
Utolsó frissítés ideje: 2004. december 16.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 12.829 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: könnyű
Aktiválódása esetén lezajló események
– minden olyan process-t leállít, mely a Script vagy a Block sztringet tartalmazza a nevében
– létrehozza a System könyvtárban a Winmgmt32.vbs állományt, melyet le is futtat; ezzel képes bármilyen process-t leállítani, aminek a neve: Taskmgr.exe
– felmásolja magát az alábbi helyekre:
. [System elérési útvonala]/Scmhlpr.vbs
. [Windows elérési útvonala]/System/Scmhlpr.vbs
. [Windows elérési útvonala]/AppLogs/Applog32.vbs
. C:/Program Files/WindowsUpdate/Wuauclt.tmp/dwnldscn.vbs
– létrehozza és futtatja az alábbi állományokat:
. [System elérési útvonala]/ActiveUser32.reg
. [System elérési útvonala]/Win32Reg.reg
. [System elérési útvonala]/MsMisc.reg
. [Windows elérési útvonala]/System/Win32Reg.reg
. [Windows elérési útvonala]/System/ActiveUser32.reg
. [Windows elérési útvonala]/System/MsMisc.reg
. [Windows elérési útvonala]/System/MsMisc.reg
. [Windows elérési útvonala]/System/Winmgmt32.vbs
– hozzáadja a Spore.b=[System elérési útvonala]/Scmhlpr.vbs bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– módosítja a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer kulcs következő értékeit:
. RestrictRun = 1
. NoFolderOptions = 1
. NoWinKeys = 1
. NoViewContextMenu = 1
. NoClose = 1
. NoSetFolders = 1
. NoDrives = 0x03ffffff
. NoRun = 1
. NoFind = 1
– hozzáadja a DisableRegistryTools = 1 bejegyzést a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/System kulcshoz, ezzel tiltva le a rendszerleíró adatbázis módosítását
– a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/RestrictRun kulcs alábbi értékeinek beállításával használhatatlanná teszi az adott szövegszerkesztő programokat:
. 1 = notepad.exe
. 2 = wordpad.exe
. 3 = write.exe
. 4 = wuauclt.exe
– hozzáadja a Window Title = vbs.Spore.b@mm (c) 2004 bejegyzést a HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main kulcshoz
– létrehozza az alábbi Registry alkulcsokat:
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/SysBIOS
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/SysBIOS/Virii
. HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/SysBIOS/Virii/Spore.b
– felviszi a Sys_Infected = vbs.Spore.b@mm bejegyzést a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/SysBIOS/Virii/Spore.b kulcsba
– letörli az összes állományt a Desktop és az Internet Explorer Favorites könyvtárakból
– parancsikonokat ad a Favorites könyvtárhoz, mely főként felnőtteknek szóló tartalmakkal rendelkező website-okra mutatnak
– e-mailcímeket gyűjt különböző kiterjesztésű állományokból (néhány példa: doc, hta, rtf, txt, xml)
– elküldi önmaga másolatát minden e-mailcímre, amit begyűjtött
– megjeleníti a következő álhibaüzenetet:
Windows Script Host
Script: wscript.exe vagy cscript.exe
Line: (0 és 499 közé eső véletlenszám)
Char: (0 és 999 közé eső véletlenszám)
Error: (az alábbiak egyike)
– Expected end of statement
– Object required: ´Virus Scan..!!´
– Expected ´System Update..!!´
– Syntax error
– Unterminated string constant
Code: (a következők közül egy)
– V!RU$ !nFeCt!oN
– vbs.Spore.b@mm
– y0u @sSh0l3
– To0 l@t3 $uCk3r
– DaMaGe !s d0n3
– $yst3m_0v3rl0aD
– $yst3m_!nFeCt!oN
– $yst3m_3rRoR
– BufF3r_Ov3rFl0w
– FaRr-Qu3 Lo0s3r
Source: Microsoft VBScript compilation error vagy Microsoft VBScript runtime error
[fbcomments url="https://www.technokrata.hu/egazdasag/dotkom/2004/12/16/jelszohalasz-tamadasokra-figyelmezteto-fereg/" width="800" count="off" num="3" countmsg=""]
