Connect with us

technokrata

A sokadik Mydoom variáns fertőz

Dotkom

A sokadik Mydoom variáns fertőz

Ismét egy újabb változata terjed a Mydoom féregnek.

A fertőzött levél tulajdonságai

Feladó: hamis e-mailcím

Tárgy: az alábbiak egyike:
– Attention!!!
– Do not reply to this email
– Error
– Good day
– hello
– Mail Delivery System
– Mail Transaction Failed
– Server Report
– Status

Tartalom: néhány példa:
– The message contains Unicode characters and has been sent as a binary attachment.
– The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
– Mail transaction failed. Partial message is available.
– Thank you for registering at WORLDXXXPASS.COM
All your payment info, login and password you can find in the attachment file.
It´s a real good choise to go to WORLDXXXPASS.COM

Csatolmány név: valamelyik a következők közül:
– body
– message
– docs
– data
– file
– rules
– doc
– readme
– document

Csatolmány kiterjesztés: a következők közül válogat: .bat, .cmd, .exe, .pif, .scr, .zip

A féreg paraméterei

Felfedezésének ideje: 2005. január 24.
Utolsó frissítés ideje: 2005. január 25.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 32.768 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– létrehozza az lsasrv.exe és a version.ini állományokat a System mappában, illetve a hserv.sys file-t
– hozzáadja az lsass=[System elérési útvonala]/lsasrv.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcsban
– hozzáadja a Shell=explorer.exe [System elérési útvonala]/lsasrv.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon kulcshoz
– létrehozza az ideiglenes file-ok mappájában a Mes#wtelw.txt állományt, mely csak értelmetlen adatokat tartalmaz; ezt megjeleníti a Notepad révén a fertőzött számítógépen
– a Windows Address Bookjából és bizonyos állományokból e-mailcímek után kutat
– saját SMTP-motorja révén továbbítja magát az így megszerzett címekre
– amennyiben léteznek, felmásolja magát a Kazaa, Morpheus, iMesh, eDonkey és LimeWire megosztási könyvtáraiba, az alábbi nevek valamelyikén (bat, pif, scr vagy exe kiterjesztéssel):
. porno
. NeroBROM6.3.1.27
. avpprokey
. Ad-awareref01R349
. winxp_patch
. adultpasswds
. dcom_patches
. K-LiteCodecPack2.34a
. activation_crack
. icq2004-final
. winamp5
– megkísérli leállítani a rendszerre telepített behatolásvédelmi szoftverek futó process-eit
– a hosts állomány felülírásával számos website-ot elérhetetlenné tesz a fertőzött számítógépen



Szólj hozzá!

További Dotkom

Népszerű

Technokrata a Facebookon

IoT-Magazin.hu

Kütyük

Dotkom

Műszaki-Magazin.hu

Hirdetés
Hirdetés