Connect with us

technokrata

W32.HLLW.Discoball – hálózati megosztásokon terjedő féreg

Dotkom

W32.HLLW.Discoball – hálózati megosztásokon terjedő féreg

A hálózati megosztások révén szaporodó féreg nem rendelkezik pusztító hajlammal, ettől függetlenül érdemes elkerülni beszerzését.

A féreg tulajdonságai

Felfedezésének ideje: 2003. február 10.
Védekezés elkészültének ideje: 2003. február 11.
Veszélyeztetett operációs rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux, OS/2
Mérete: 206.336 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– felmásolja magát a Windows könyvtárba Mdbole.exe néven, a System könyvtárba pedig Seg32.exe és Wins.exe néven
– ugyanitt létrehozza a Int13ext.vxd file-t
– megváltoztatja a default értékeit a következő Registry kulcsoknak:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce
[System elérési útvonala]/wins.exe bejegyzésre
– a HKEY_CLASS_ROOT/exefile/shell/open/command Registry kulcs default értékét [System elérési útvonala]/seg32.exe ˝%1˝ %* bejegyzésre változtatja
– létrehozza a HKEY_LOCAL_MACHINE/Software/CLASSES/Software/Microsoft/Windows/CurrentVersion/RunServices kulcsot, és benne a [System elérési útvonala]/wins.exe bejegyzést
– a Win.ini állomány [windows] részéhez hozzáadja a run=MDBOLE.EXE sort
– a System.ini állomány [boot] részéhez hozzáadja a következő sort: shell=Explorer.exe MDBOLE.EXE
– előre meghatározott e-mailcímekre e-mailt küld saját SMTP motorja révén
– megosztott meghajtók után kutat, ha talál, és azon van Windows könyvtár, bemásolja magát oda Mdbole.exe néven
– a korábbiakkal analóg módon módosítja a távoli rendszeren is a Win.ini és a System.ini állományt



Szólj hozzá!

További Dotkom

Népszerű

Technokrata a Facebookon

IoT-Magazin.hu

Kütyük

Dotkom

Műszaki-Magazin.hu

Hirdetés
Hirdetés