Connect with us

Hirdetés

technokrata

Windows Hotfix! – érkezik a fertőzött e-mailben

Dotkom

Windows Hotfix! – érkezik a fertőzött e-mailben

Többek között Windows hibajavításnak is álcázza magát a Cydog féreg C variánsa annak érdekében, hogy bejusson a rendszerbe.

A fertőzött e-mail jellemzői

A következő, előre elkészített listából választ egyet véletlenszerűen:

Feladó: Lovergirl@hotmail.com
Tárgy: Do you remember last summer?
Csatolmány: Last Summer.scr

Feladó: Webmaster@planet-source-code.com
Tárgy: Api Hooking Tutorial…
Csatolmány: Api Hooking-Tutorial.exe

Feladó: Support@microsoft.com
Tárgy: Windows Hotfix!
Csatolmány: Q30215HOTFIX.pif

Feladó: SecurityResponse@symantec.com
Tárgy: Warning Feladó: Symantec.com
Csatolmány: FixSql.com

Feladó: Admin@hackers.com
Tárgy: u wanted to hack?
Csatolmány: Hotmail Hacker.exe

Feladó: Lovergirl963@hotmail.com
Tárgy: Do you remember last summer?
Csatolmány: Last Summer.scr

Feladó: Lovergirl963@hotmail.com
Tárgy: Fwd:Fwd:Fwd:Sit back and be surprised…
Csatolmány: Magical-Screensaver.scr

Feladó: Admin@screensavers.com
Tárgy: The Magic screensaver
Csatolmány: Magical-Screensaver.scr|

Feladó: ebmaster@Loveforlife.com
Tárgy: Feel the reason why we fall in love…
Csatolmány: Love.scr

Feladó: Webmaster@Outwar.com
Tárgy: Outwar is proud to present you:Outwar InterActive
Csatolmány: OutWar Demo.exe

Feladó: Soccerfan@yahoo.com
Tárgy: Fwd:Fwd:Fwd:Soccer…
Csatolmány: Soccer Database.exe

Feladó: Webmaster@beautifulgirls
Tárgy: Christina Aguilera:The most beautiful girl on earth
Csatolmány: Christina Aguilera-The most beautiful girl on earth.scr

Feladó: webmaster@screensavers.com
Tárgy: Saddam a live and kickin
Csatolmány: Saddam-the real pics.scr

Feladó: Admin@jokes.com
Tárgy: The Virtual Joke…
Csatolmány: Virtual Joke.scr

Feladó: flipbabe@hotmail.com
Tárgy: Fwd:Fwd:Whats really happening in bagda
Csatolmány: Saddam-the real pics.scr

Feladó: mailinglist@Msn.com
Tárgy: Get the new Msn 5.1!
Csatolmány: MsnMsgs.exe

Feladó: mailinglist@healthcare.com
Tárgy: How to protect yourself against SARS
Csatolmány: HowTo-SARS.exe

A féreg paraméterei

Felfedezésének ideje: 2003. május 5.
Védekezés elkészültének ideje: 2003. május 5.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 108.544 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja magát a Windows könyvtárba CyberWolf.exe néven, rejtett és rendszer attributummal
– felmásolja magát a System könyvtárba a következő figyelemfelkeltő neveken:
. Kernel32.exe
. Api Hooking-Tutorial.exe
. Christina Aguilera-The most beautiful girl on earth.scr
. FixSql.com
. Hotmail Hacker.exe
. HowTo-SARS.exe
. Last Summer.scr
. Love.scr
. Magical-Screensaver.scr
. MsnMsgs.exe
. OutWar Demo.exe
. Setup.exe
. Soccer Database.exe
. Saddam-the real pics.scr
. Virtual Joke.scr
. Q30215HOTFIX.pif
. WinExec.bin
. winlogon.sys
– hozzáadja a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz a következő két bejegyzést:
CyberWolf=[Windows elérési útvonala]/CyberWolf
Windoes Kernel=[System elérési útvonala]/kernel32.exe
– hozzáadja a REGEDIT.EXE alkulcsot a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/App Paths Registry kulcshoz, majd ennek a következőképp állítja be alapértékét:
[Default]=[System elérési útvonala]/kernel32.exe
– a fenti módosítás révén minden alkalommal lefut a féreg, amikor a felhasználó megnyitja a Registry Editort
– hozzáadja az MSCONFIG.EXE alkulcsot a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/App Paths Registry kulcshoz, s ebbe beleírja a következő bejegyzést:[Default]=[System elérési útvonala]/kernel32.exe
– a fenti módosítás révén minden alkalommal lefut a féreg, amikor a felhasználó megnyitja az msconfig.exe állományt
– hozzáadja a system=[System elérési útvonala]/kernel32.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon Registry kulcshoz
– módosítja a HKEY_LOCAL_MACHINE/SOFTWARE/CLASSES/exefile/shell/open/command Registry kulcs alapértékét az alábbi módon:
[Default]=[System elérési útvonala]/kernel32.exe
– módosítja a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced kulcs két értékét:
Hidden=2
HideFileExt=1
– leállítja a következő processeket (ha futnak):
. COMMAND
. SYSHELP
. RAVMOND
. WINRPC
. WINHELP
. WINGATE
. TASK
. TASKMGR
. MSCONFIG
. REGEDIT
. egyéb behatolásvédelmi programok futó processei
– megkeresi a Registry-ben a Kazaa letöltési könyvtárát (ha a Kazaa fel van telepítve), majd oda bemásolja magát a következő neveken:
. AIM Remote Password Cracker.exe
. Chaos Ip Spoof 2003.exe
. FTP Cracker-2003(Crack the password of ANY FTP server with this tool!).exe
. Hotmail Exploiter 2003.exe
. Msn Messenger Remote Password Cracker 2003.exe
. Netbios hacker.exe
. Ultimate HackProg.exe
. Virus Creation ToolKit-VX v7.1_create virii with this tool,Klez.H and Sircam has been created with version 6.exe
. WebAttack-DoS Tool.exe
. XNuker 2003.exe
. Yahoo Remote Password Cracker Deluxe 2003.exe
– a féreg felmásolja magát a következő könyvtárakba is (ha azok léteznek):
C:/Program Files/Morpheus/My Shared Folder
C:/Program Files/Bearshare/Shared
C:/Program Files/Edonkey2000/Incoming
– módosítja a script.ini állományt (ha a Mirc fel van telepítve), így IRC-n keresztül is képessé válik a szaporodásra (Magical-Screensaver.scr néven továbbítja magát ezen a kommunikációs csatornán)
– megkeresi a rendszert használó nevét, e-mail címét és az SMTP szerverének IP-címét a Registry-ben
– saját SMTP motorja révén az Outlook Address Bookban található összes személy számára továbbítja magát
– nyit egy böngészőablakot, az alábbi URL-ek egyikével:
http://www.indiansnakes.cjb.net.
http://www.christinaaguilera
http://www.brain-hack.com



Szólj hozzá!

További Dotkom

Hirdetés

Népszerű

Hirdetés

Technokrata a Facebookon

Hirdetés

IoT-Magazin.hu

Hirdetés

Kütyük

Smart home

Így képzelik el a magyarok az álomotthonukat

2024. március 20. szerda

Office

Foglalj helyet, hogy helyet foglalhass!

2024. március 13. szerda

Smart home

Okoskészülék vagy hagyományos háztartási gép?

2024. február 28. szerda
owlet care babafigyelő

Smart home

OWLET CARE a magyarországi piacon!

2024. február 26. hétfő
Hirdetés

Dotkom

Műszaki-Magazin.hu

Hirdetés