Connect with us

technokrata

Önmagára figyelmeztető féregvírus

Dotkom

Önmagára figyelmeztető féregvírus

A Cone féreg D változata akár olyan e-mailben is elérhet a felhasználóhoz, melyben figyelmezteti(!) arra, hogy a csatolmány fertőzött, s azt ne nyissa meg. Egyedi taktika.

A fertőzött e-mail jellemzői

Feladó: hamis e-mailcím

Tárgy: a következők valamelyike:
– RE: the attachment is in the SKY [weN]
– How cute is your credit card number!! :))
– E-mail account disabling warning for [címzett neve]
– the attachment is in the SKY [weN]
– Hi
– i have your password 🙂
– RE: Thank You!
– RE: details ([címzett neve])
– Password Reset For [címzett neve]
– Undelivered Mail Returned to Sender ([címzett neve])
– about you
– Your account ([címzett neve]) will be closed
– Your IP has been logged
– Mail Delivery System ([címzett neve])
– Mail Transaction Failed ([címzett neve])
– IMPORTANT [címzett neve]!
– Confidential user information!

Tartalom: a következők közül egy:
– Hi lucky,
The attachment is a virus do not open it.
I write it to say : we don´t want islamic republic in IRAN!
I´m realy sorry, I´m damaging some computers that I don´t want to damage!!!!
– Dear user of [címzett neve],

We warn you about some attacks on your e-mail account. Your computer may contain viruses, in order to keep your computer and e-mail account safe,
please, follow the instructions.

The Management,
The [címzett domainje] team http://www.[címzett domainje]
– take it easy
– I have your password 🙂
– The zip archive attached.
extract it and then read the text file!
– i zip your password (and some other info) :))
I have it too!
you can change it, but…!
– Warning!!!
This message contains (attached) users personal info and you may not use it for personal use,
remember that you accept the agreement,
and you are responsible for any kind of misuse of the users personal info.
– i zip it for you.
– i can´t find anything usefull in your attachment.
– See the attached file for details
– your credit card information attached :))
– do you can imagine?
a [véletlenszerűen generált betűk] in a zip file!
– The message contains Unicode (Chinese) characters and has been sent as an attachment (in binary).
– Details Attached.

Csatolmány: nyolc, véletlenszerűen generált betű vagy szám a neve, a kiterjesztése pedig EXE (a féreg ezt egy ZIP állományban továbbítja)

A féreg paraméterei

Felfedezésének ideje: 2004. március 10.
Utolsó frissítés ideje: 2004. március 10.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 17.999 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja magát a Windows tasks könyvtárába svchost.exe, a System könyvtárba 01enel.dll, valamint a Temp könyvtárba svchost.exe és an27XXX.exe néven
– bemásolja magát WebCheck.pif néven a következő könyvtárakba:
. C:/Documents and Settings/All Users/Start Menu/Programs/Startup
. C:/Documents and Settings/[aktuális felhasználó]/Start Menu/Programs/Startup
– létrehozza a Temp könyvtárban a Doc állományt, melyet ezt követően Notepaddel nyit meg; a szöveg értelmetlen adatokat tartalmaz, megnyitása után letörli ezt a file-t
– hozzáadja a Task Monitoring Service=[Windows elérési útvonala]/tasks/svchost.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run és a HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Registry kulcsokhoz
– létrehozza a következő állományokat:
. Temp/n27xxx.dip – a féreg ZIP archívuma
. Temp/file.dll – a kártevő MIME-64 kódolt ZIP archívuma
. Windows/Cyclone.v0.0002.htm (887 byte)
. Temp/01http.dll
. System/01check.dll
. System/01eml.dll
. System/01seml.dll
. System/01url.dll
. System/01vis.dll
– létrehozza a !This is the first real version nevű mutexet
– .mbx, .wab, .html, .eml, .htm, .asp, .shtml, .txt,és .dbx kiterjesztésű file-ok után kutat
– amennyiben talál ilyen állományokat, kigyűjti a bennük található e-mailcímeket, majd saját SMTP-motorja révén továbbítja is önmagát ezekre a címekre



Szólj hozzá!

További Dotkom

Népszerű

Technokrata a Facebookon

IoT-Magazin.hu

Kütyük

Dotkom

Műszaki-Magazin.hu

Hirdetés
Hirdetés