Connect with us

technokrata

W32.Appix.C.Worm – agresszíven terjeszkedni vágyó féregvírus

Dotkom

W32.Appix.C.Worm – agresszíven terjeszkedni vágyó féregvírus

Az Appix féreg harmadik változata sem jobb az előzőeknél: mindenáron terjeszkedni akar, amihez szinte minden lehetőséget igyekszik megragadni.

A féreg paraméterei

Felfedezésének ideje: 2002. október 16.
Védekezés elkészültének ideje: 2002. október 17.
Veszélyeztetett operációs rendszerek: Windows NT/2k/XP
Nem érintett operációs rendszerek: Windows 3.x/9x/Me, Macintosh, Unix, Linux
Mérete: változó
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja magát a Windows könyvtárba Appboost.exe néven (rejtett, csak olvasható és rendszer attributumokkal) és Appbsvc.exe néven (arhív attributummal)
– a HKEY_LOCAL_MACHINE/SOFTWARE/Classes/exefile/shell/open/command Registry kulcs defalut értékét a következőre változtatja: /appboost.exe ˝%1˝ %*
– létrehozza és futtatja az Appboost service-t
– jónéhány módosítást végez a HKEY_CURRENT_USER/Software/Microsoft/Mails Registry kulcsban is, például a következőket:
cliff@coracle.com 23523
dnav@myself.com 23523
eurotech@atitech.ca 23523
ftp.rar@knowledgebase.fi 23523
GOD@GRAPHICS.DESIGNER.COM 23523
– megkísérli leállítani a rendszeren futó adatvédelmi szoftverek (tűzfalak, víruskeresők) processeit
– átkutatja a Registry-t, kiderítendő, fel van e telepítve a mIRC; ha igen, akkor módosítja a Mirc.ini állományt oly módon, hogy minden felhasználónak elküldje a férget, akik ahhoz a csatornához csatlakoznak, amelyen a fertőzött számítógép is található
– megkeresi az Address Book állományt és az azokban található e-mailcímekre továbbítja magát, ehhez az alapértelmezett e-mailklienst és saját SMTP-motorját használja
– a féreg kihasználja az Outlook egy korábban problémát okozó biztonsági hibáját; az ezt javító patch letölthető a kapcsolódó linkek egyikére kattintva
– megfertőzi a PHP, PHTML és a PHP3 állományokat az aktuális és a C meghajtó főkönyvtárában
– a már fertőzővé vált PHP állományok tovább fertőznek, ám a felülfertőzést elkerülik; ennek következtében akár le is fagyhat az Explorer vagy az operációs rendszer
– DoS támadást is kezdeményezhet



Szólj hozzá!

További Dotkom

Népszerű

Technokrata a Facebookon

IoT-Magazin.hu

Kütyük

Dotkom

Műszaki-Magazin.hu

Hirdetés
Hirdetés