Connect with us

technokrata

W32.Frethem.M@mm – ismét felfedeztek egy variánst

Dotkom

W32.Frethem.M@mm – ismét felfedeztek egy variánst

A Frethem elképesztő mértékben mutálódik, pár napja jelent meg két újabb változata, ehhez képest ma felfedeztek egy, az eddigiektől ismét eltérő variánst.

A fertőzött e-mail tulajdonságai

Tárgy: Re: Your password!
Csatolmány: decrypt-password.exe, mérete: 48.128 byte és Password.txt, mérete: 93 byte
Tartalom: ATTENTION!
You can access
very important
information by
this password

DO NOT SAVE
password to disk
use your mind

now press
cancel

A féreg paraméterei

Felfedezési ideje: 2002. július 15.
Védelem elkészítésének ideje: 2002. július 16.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Macintosh, Unix, Linux
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktivizálódása esetén bekövetkező események

– bemásolja magát a Windows könyvtárba taskbar.exe néven és annak érdekében, hogy minden rendszerinduláskor betöltődjön a memóriába, hozzáadja a Taks Bar C:/Windows/taskbar.exe bejegyzést a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– a HKEY_CURRENT_USER/Software/Microsoft/
Internet Account Manager/Accounts/00000001/SMTP Server, a HKEY_CURRENT_USER/Software/Microsoft/
Internet Account Manager/Accounts/00000001//SMTP Email Address és a HKEY_CURRENT_USER/Software/Microsoft/
Internet Account Manager/Accounts/00000001/SMTP Display Name Registry kulcsokból kiszedi az e-mailcímekre és SMTP szerver nevekre vonatkozó információkat
– további e-mailcímeket gyűjt az Address Bookból és a .dbx, .wab, .mbx, .eml, .mdb kiterjesztésű file-okból
– az így megszerzett e-mailcímekre továbbítja magát a fent ismertetett formátumban
– IFRAME és MIME exploitokat kihasználva már előnézeti fázisban is képes fertőzni, ennek elkerülése érdekében a kapcsolódó linkeknél található Explorer biztonsági javítás linkre érdemes kattintani és a patch-et letölteni, amennyiben ezt még nem tettük meg
– annak érdekében, hogy a féreg ne kerüljön többszöri betöltésre, létrehozza az ˝IEXPLORE_MUTEX_AABBCCDDEEFF˝ mutexet a memóriában
– néhány órányi ˝illegalitás˝ után bemásolja magát a C:/Windows/All Users/Start Menu/Programs/Startup könyvtárba Setup.exe néven



Szólj hozzá!

További Dotkom

Népszerű

Technokrata a Facebookon

IoT-Magazin.hu

Kütyük

Dotkom

Műszaki-Magazin.hu

Hirdetés
Hirdetés