Connect with us

technokrata

W32.Lirva.A@mm – agresszív terjedésű féreg

Dotkom

W32.Lirva.A@mm – agresszív terjedésű féreg

A Lirva igen agresszíven igyekszik terjedni; ehhez igénybe veszi az e-mailt, a hálózati megosztásokat, a peer to peer hálózatokat, az IRC-t és az ICQ-t is.

A fertőzött e-mail tulajdonságai

Tárgy: egy a következőkből:
Fw: Prohibited customers…
Re: Brigade Ocho Free membership
Re: According to Daos Summit
Fw: Avril Lavigne – the best
Re: Reply on account for IIS-Security
Re: ACTR/ACCELS Transcriptions
Re: The real estate plunger
Fwd: Re: Admission procedure
Re: Reply on account for IFRAME-Security breach
Fwd: Re: Reply on account for Incorrect MIME-header
Tartalom: az alábbiakból egy:
– Microsoft has identified a security vulnerability in Microsoft® IIS 4.0 and 5.0 that is eliminated by a previously-released patch. Customers who have applied that patch are already protected against the vulnerability and do not need to take additional action. to apply the patch immediately. Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so Patch is also provided to subscribed list of Microsoft Tech Support:
– Restricted area response team (RART) Attachment you sent to %s is intended to overwrite start address at 0000:HH4F To prevent from the further buffer overflow attacks apply the MSO-patch
– Avril fans subscription FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony Vote for I´m with you! Admission form attached below
Csatolmány: a lenti variációkból választ egyet:
Resume.exe
Download.exe
MSO-Patch-0071.exe
MSO-Patch-0035.exe
Two-Up-Secretly.exe
Transcripts.exe
Readme.exe
AvrilSmiles.exe
AvrilLavigne.exe
Complicated.exe
Singles.exe
Sophos.exe
Cogito_Ergo_Sum.exe
CERT-Vuln-Info.exe
Sk8erBoi.exe
IAmWiThYoU.exe

A féreg paraméterei

Felfedezésének ideje: 2003. január 7.
Védekezés elkészültének ideje: 2003. január 7.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux, OS/2
Mérete: 32.766 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– képes számos behatolásvédelmi eszköz futó processét leállítani
– számba veszi az éppen nyitott ablakokat és becsukja azokat, amelyeknek fejlécében az alábbi szavak bármelyike megtalálható: virus, anti, McAfee, Virus, Anti, AVP, Norton
– felmásolja magát rejtett és rendszer attributummal a Temporary könyvtárba két, véleletenszerűen választott stringből álló néven; a System, a drivereket tartalmazó és a Kazaa letöltési könyvtárba véleletenszerűen választott stringből álló EXE file formájában
– hozzáadja az Avril Lavigne – Muse értéket a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– Windows NT/2k/XP alatt service-ként regisztrálja magát
– létrehozza a HKEY_LOCAL_MACHINE/Software/OvG/Avril Lavigne kulcsot, majd ebben több alkulcsot, amely révén ellenőrizni tudja a féreg fertőzési mechanizmusát
– a Temporary könyvtárban létrehoz egy nem fertőző text file-t (Avril-ii.inf) és egyéb ideiglenes állományokat a Windows Temporary mappájában
– leellenőrzi, van-e aktív Internet-csatlakozás, ha nem, akkor megkísérli az alapértelmezett dialup kapcsolatot felhasználni csatlakozásra
– e-mailcímek után kutatva átnézi a Windows Address Bookját és a következő kiterjesztéssel bíró állományokat: .dbx, .mbx, .wab, .html, .eml, .htm, .tbb, .shtml, .nch és .idx
– az így megszerzett címekre a fenti karakterisztikában továbbítja magát (egy biztonsági hibát kihasználva már akkor beindulhat a féreg működése, ha a felhasználó csak előnézetben látja a levelet; a hiba javítása letölthető a lenti linkről)
– az e-mailezési rutinhoz létrehozza a Temporary könyvtárban a NewBoot.sys állományt, melyet aztán le is töröl
– megkeresi az Icqmapi.dll állományt, ezzel meghatározva az ICQ könyvtárát
– amennyiben fel van telepítve az ICQ a rendszerre, felmásolja magát a System könyvtárba és a kontakt listán található összes személy számára továbbítja magát
– -létrehozza a Script.ini file-t a Mirc könyvtárában, mely révén az #avrillavigne csatornához csatlakozik, s ott is megpróbál terjeszkedni
– megosztott C meghajtók után kutat a hálózaton, ha talál, akkor a távoli rendszer Recycled könyvtárába másolja magát egy véletlenszerűen választott stringből álló néven (EXE formátumban), majd azután módosítja a távoli rendszer autoexec.bat állományát a következő sorral:
@win [a véletlenszerűen választott string].exe
– minden helyi meghajtó Recycled könyvtárába felmásolja magát [véletlenszerűen választott string].exe formátumban, majd módosítja az autoexec.bat állományt, hogy az betöltse a férget rendszerindításkor
– véletlenszerűen választott file-néven bemásolja magát a Kazaa megosztott könyvtárába
– minden hónap 7-én, 11-én vagy 24-én elindítja a böngészőt és megnyitja a www.avril-lavigne.com oldalt, valamint megjelenít egy grafikus animációt a Windows dekstopján



Szólj hozzá!

További Dotkom

Népszerű

Technokrata a Facebookon

IoT-Magazin.hu

Kütyük

Dotkom

Műszaki-Magazin.hu

Hirdetés
Hirdetés