Connect with us

technokrata

W32.Duksten.E@mm – Registry Editort eltüntető féregvírus

Dotkom

W32.Duksten.E@mm – Registry Editort eltüntető féregvírus

A Duksten féreg E változata a rendszerleíró adatbázis szerkesztésére használatos Registry Editor álcája alatt igyekszik megbújni az áldozatul esett számítógépen.

A fertőzött e-mail tulajdonságai

Feladó: ˝Greenpace˝
Tárgy: Nuevas grietas del PrestiGe nos amenazan!
Csatolmány: Grietas.zip

A féreg paraméterei

Felfedezésének ideje: 2002. december 23.
Védekezés elkészültének ideje: 2002. december 24.
Veszélyeztetett operációs rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux, OS/2
Mérete: 9.728 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– megjeleníti a Windows Image Viewer fejlécű, Unexpected error in MSVCRT40.DLL szövegű ablakot
– felmásolja magát a System könyvtárba PresTiGe.exe néven
– átnevezi a Windows könyvtárban található Regedit.exe állományt m_Regedit.exe-re, s az eredeti névvel felmásolja saját magát
– létrehozza a következő file-okat a System könyvtárban:
P_Base64.xrf – szöveges állomány, az Address Bookból gyűjtött e-mailcímeket tárolja benne
P_Prgrm.zip – ez tartalmazza a féreg másolatát PresTiGe.exe néven
P_WAB.XRF – a P_Prgrm.zip MIME kódolt formája
– hozzáadja az XRF [System elérési útvonala]/PresTiGe.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– átnézi a Registry-t az alapértelmezett e-mail account és SMTP szerver megszerzése végett, majd továbbítja magát ZIP-pelt formátumban a fent ismertetett karakterisztikában



Szólj hozzá!

További Dotkom

Népszerű

Technokrata a Facebookon

IoT-Magazin.hu

Kütyük

Dotkom

Műszaki-Magazin.hu

Hirdetés
Hirdetés