VBS.Melhack@mm – trójait futtató féregvírus

A fertőzött e-mail tulajdonságai

Tárgy: << Nur_Mohd_Kamil >>
Tartalom: Hello,

My name is , I´m 19 years old. I would like to introduce my new transport called OsamaBinLaden Digital Transport.
I write this message cause I want to explorer in the whole world using Digital transport. So, where I arrive now?

By

Amennyiben nincsen engedélyezve az ActiveX, arra próbálja meg rávenni a felhasználót, hogy engedélyezze.

A féreg paraméterei

Felfedezési ideje: 2002. augusztus 29.
Utolsó frissítés ideje: 2002. augusztus 30.
Veszélyeztetett operációs rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, Unix, Linux
Mérete: 124.360 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódásakor bekövetkező események

– a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion Registry kulcsba beírja az OsamaBinLaden wscript.exe c:/Windows/System/OsamaBinLaden.vbs %
– a Melhacker C:/Melhacker.bat értékeket a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz fűzi hozzá
– bemásolja magát a System könyvtárba OsamaBinLaden.vbs néven
– létrehozza és futtatha a Kamil.exe nevű állományt (ez a W32.Kamil trójai program)
– léterhozza a C meghajtó gyökerében a Melhacker.bat dile-t és futtatja is, ennek következményei:
– leellenőrzi a Melhacker.bat létezését, ha nem találja, létrehozza, a következő üres könyvtárakkal egyetemben:
C:/Windows/VBS.Kamil
C:/Windows/W32.Kamil
C:/Windows/W32.Blebla.J.Worm
C:/Windows/W32.Cbomb
C:/Windows/BAT.Melhacker Will Attack Your Computer
C:/Windows/Suck
C:/Windows/FUCk
C:/Windows/Kill
C:/Windows/MURder
C:/Windows/Xtrap
C:/Windows/G.W.Bush Will Be KILled
C:/Windows/No Peace In America
C:/Windows/No Peace In Israel
C:/Windows/Nuklear Waiting For You
C:/Windows/The Hacker Will Survive
– megváltoztatja a promptot $P$SWindows2000-re, ahol a $P a jelenlegi elérési útvonalat, a $S pedig egy szóközt jelent
– felülírja magával a C:/Autoexec.bat és a C:/Windows/Dosstart.bat állományokat
– a C meghajtó gyökerében levő ZIP állományokat letörli
– magával felülírja a C meghajtó gyökerében levő COM file-okat, illetve a My Documents könyvtárban található file-okat, melyek kiterjesztése: .txt, .xls, .doc, .exe, .rtf, .cab, .com, .avi, .gif, .bmp, .jpg, .jpeg, .tif és .bat
– az összes .doc, .jpg, .gif, .bmp, .cpp, .mdb, .xls, .avi, .mp3 és .bat file-t, ami a C:/Windows/Desktop folderben található, felülírja saját magával
– Explorer segítségével letölti és futtatja a Nur_Mohammad_Kamil.exe (W32.Kamil) állományt
– a következő állományokat megkísérli letörölni:
C:/Windows/Application Data/Identities/{161C80E0-1B99-11D4-9077-FD90FD02053A}/Microsoft/Outlook Express/*.dbx (Outlook Express mailboxok).
C:/Windows/Application Data/Microsoft/Address Book/Ankit.wab.
C:/Windows/*.pwl (Windows által elmentett jelszófile-ok).
– felmsáolja magát C:/Windows/Start Menu/Programs/StartUp/Melhacker.bat néven
– létrehozza a Mailed 1, Mirqued 1, Pirched 1 bejegyzéseket a HKEY_LOCAL_MACHINE/Software/OsamaBinLaden Registry kulcsban
– elküldi magát a fent ismertetett e-mailkarakterisztikában a Windows Address Bookban található címekre
– a mIRC és a pIRCed könyvtáraiban létrehozza a Script.ini vagy az Events.ini állományokat, így a fertőzött számítógép által használt csatornához csatlakozóknak automatikusan elküldi magát
– minden .vbs, .vbe, .gif, .jpg, .bmp, .avi, .mp3, .mpg, .zip, .cab, .mdb, .xls, .lnk, .doc, .txt és .rtf kiterjesztéssel rendelkező file-t felülír magával