Connect with us

technokrata

W32.Friendgreet.worm – üdvözlőlap mögé bújó féregvírus

Dotkom

W32.Friendgreet.worm – üdvözlőlap mögé bújó féregvírus

Egy újabb elektronikus üdvözlőkártyának álcázott kártevőre bukkantak, amely szerencsére (egyelőre) nem képes kifejteni káros hatását.

A fertőzött e-mail tulajdonságai

Tárgy: [címzett neve] you have an E-Card from [feladó neve].
Tartalom: Greetings!

[feladó neve] has sent you an E-Card — a virtual postcard from FriendGreetings.com. You can pickup your E-Card at the FriendGreetings.com by clicking on the link below.

http://www.friendgreetings.com/pickup/pickup.aspx?…

Message:
———————————————————–
[címzett neve]
I sent you a greeting card. Please pick it up.
[feladó neve]
———————————————————–

A féreg paraméterei

Felfedezésének ideje: 2002. október 25.
Védekezés elkészültének ideje: 2002. október 28.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux
Mérete: nem ismert
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– a levélben található linkre (amely jelenleg nem érhető el) kattintva megpróbál csatlakozni a website-hoz és onnan letölteni egy programot, mindezt úgy, hogy a felhasználóval még egy EULA (End User Licence Agreements) elfogadási folyamatot is végrehajtat
– amennyiben a felhasználó elfogadja a ˝licencszerződést˝, akkor az összes, Outlook Address Bookban található címzett számára továbbítja a fenti levelet
– az alábbi Registry kulcsokat adja a rendszerleíró adatbázishoz:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/explorer/Browser Helper Objects/{7011471D-3F74-498E-88E1-C0491200312D}
HKEY_LOCAL_MACHINE/Software/CLASSES/IEEvtCatcher.IEEvtCatcherObj.1
HKEY_LOCAL_MACHINE/Software/CLASSES/IEEvtCatcher.IEEvtCatcherObj
HKEY_LOCAL_MACHINE/Software/CLASSES/TypeLib/{3972ADCE-8737-45DE-A6E2-A253348E5A1E}
HKEY_LOCAL_MACHINE/Software/CLASSES/Interface/{059D8C85-A00F-40AF-8078-7692A0A79F19}
HKEY_LOCAL_MACHINE/Software/CLASSES/CLSID/{7011471D-3F74-498E-88E1-C0491200312D}
HKEY_LOCAL_MACHINE/Software/CLASSES/CLSID/{7677C920-9CC3-4621-AF8C-AD45402DC2FD}
– az alábbi értékeket adja a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Uninstall/WinSrv Reg kulcshoz:
DisplayName WinSrv Reg
UninstallString C:/Program Files/Common Files/Media/UNINSTAL.EXE C:/Program Files/Common Files/Media/INSTALL.LOG WinSrv Reg Uninstall
– a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz hozzáadja a PMedia C:/Program Files/Common Files/Media/winsrvc.exe bejegyzést
– léterhozza az alábbi állományokat:
C:/Program Files/Common Files/Media/INSTALL.LOG
C:/Program Files/Common Files/Media/OTDock.dll
C:/Program Files/Common Files/Media/OTGLOVE.DLL
C:/Program Files/Common Files/Media/OTMS.EXE
C:/Program Files/Common Files/Media/OTUPDATE.EXE
C:/Program Files/Common Files/Media/Uninstal.EXE
C:/Program Files/Common Files/Media/winsrvc.dat
C:/Program Files/Common Files/Media/WINSRVC.EXE



Szólj hozzá!

További Dotkom

Népszerű

Technokrata a Facebookon

IoT-Magazin.hu

Kütyük

Dotkom

Műszaki-Magazin.hu

Hirdetés
Hirdetés