Connect with us

technokrata

VBS.Cian.C@mm – makró vírusokat terjesztő féreg

Dotkom

VBS.Cian.C@mm – makró vírusokat terjesztő féreg

A Cian nevű féreg C variánsa Word és Excel makróvírusokat terjeszt, emellett saját magát is igyekszik szétküldeni mind a hálózati megosztások, mind a file-cserélők révén.

A féreg paraméterei

Felfedezésének ideje: 2003. február 12.
Védekezés elkészültének ideje: 2003. február 12.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux
Mérete: 16.768 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba az alábbi neveken:
Winstart.vbs, Wininst32.vbs, Winnt32.vbs, Winnet32.vbs
– felmásolja magát a Windows könyvtárba a következő neveken: Netlnk32.vbs, Conversation.vbe
– létrehozza a System könyvtárban az Evade.[vagy gif, vagy jpg kiterjesztés] állományt
– letörli a Personal.xls állományt az XLStartup könyvtárból
– hozzáadja a Winstart Wscript.exe [System elérési útvinala]/Winstart.vbs %1 bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– módosítja az alábbi bejegyzések értékét a HKEY_CURRENT_USER/Software/Microsoft/Office/[verziószám]/Excel/Security Registry kulcsban:
Level DWORD:00000001
AccessVBOM DWORD:00000001
– módosítja az alábbi bejegyzések értékét a HKEY_CURRENT_USER/Software/Microsoft/Office/[verziószám]/Word/Security Registry kulcsban:
Level DWORD:00000001
AccessVBOM DWORD:00000001
– minden helyi és megosztott meghajtó gyökerébe felmásolja magát (kivéve a C meghajtót) Passwords.vbs néven
– minden VBS és VBE állományhoz hozzáfűzi magát kódolt formában
– a következő kiterjesztéssel bíró állományokat felülírja önmagával, kiterjesztésüket pedig VBS-re változtatja: .mp3, .mp2, .avi, .mpg, .mpeg, .mpe, .mov, .pd, .doc, .xls, .mdb, .ppt, .pps; amennyiben ezen állományok a következő könyvtárak egyikében találhatók:
C:/Kazaa/My Shared Folder
C:/My Downloads
[Program Files elérési útvonala]/Kazaa/My Shared Folder
[Program Files elérési útvonala]/KaZaA Lite/My Shared Folder
[Program Files elérési útvonala]/Bearshare/Shared
[Program Files elérési útvonala]/Edonkey2000
[Program Files elérési útvonala]/Morpheus/My Shared Folder
[Program Files elérési útvonala]/Grokster/My Gorkster
[Program Files elérési útvonala]/ICQ/Shared Files
– felülírja a Script.ini állományt, amennyiben az a következő könyvtárak egyikében megtalálható:
C:/Mirc
C:/Mirc32
[Program Files elérési útvonala]/Mirc
[Program Files elérési útvonala]/Mirc32



Szólj hozzá!

További Dotkom

Népszerű

Technokrata a Facebookon

IoT-Magazin.hu

Kütyük

Dotkom

Műszaki-Magazin.hu

Hirdetés
Hirdetés