Dotkom
Registry-t átszabó féregvírus
Az Annil féreg számos módosítást végez a Registry-ben, kezdve a böngésző kezdőlapjának átállításától a behatolásvédelmi eszközök letiltásáig.
A fertőzött e-mail jellemzői
Igen széles skálából válogathat, már ami a fertőzött e-mail tárgyát és tartalmát illeti; s a csatolmány neve is sokféle lehet, kiterjesztése viszont a következők valamelyike: .bat, .com, .exe, .pif, .scr.
A féreg paraméterei
Felfedezésének ideje: 2004. március 12.
Utolsó frissítés ideje: 2004. március 15.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Macintosh, UNIX, Linux, OS/2
Mérete: 43.008 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű
Aktiválódása esetén lezajló események
– megjelenít egy System Error fejlécű hamis hibaüzenetet
– kiválaszt egy tetszőleges mappát, ahová véletlenszerűen generált neveken felmásolja magát
– létrehoz a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion kulcsban egy alkulcsot, ehhez a fent alkotott nevet használja
– önmagára mutató bejegyzést ad a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– létrehozza a HKEY_LOCAL_MACHINE/Software/McAfee/Scan95 kulcsot, majd hozzáadja a következő értékeket:
. ˝bNetworkAlert˝=0
. ˝bVShieldEnabled˝=0
. ˝UpgradeEXE˝=˝Hire Me˝
– a HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main Registry kulcsban beállítja a következőket:
. ˝Start Page˝=˝http: //www.cnn.com˝
. ˝NotifyDownloadComplete˝=0
– a HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System kulcsban 1-esre állítja a DisableRegistryTools értékét
– az alábbi kulcsokban is végez módosításokat:
HKEY_CURRENT_USER/Software/Kazaa/Advanced/˝ScanFolder˝=1
HKEY_CURRENT_USER/Software/Kazaa/InstantMessaging/˝IgnoreAll˝=1
HKEY_CURRENT_USER/Software/Kazaa/LocalContent/˝DisableSharing˝=0
HKEY_CURRENT_USER/Software/Kazaa/ResultsFilter/
˝adult_filter_level˝=0
HKEY_CURRENT_USER/Software/Kazaa/ResultsFilter/˝bogus_filter˝=0
HKEY_CURRENT_USER/Software/Kazaa/ResultsFilter/
˝firewall_filter˝=0
HKEY_CURRENT_USER/Software/Kazaa/ResultsFilter/˝virus_filter˝=0
HKEY_CURRENT_USER/Software/Kazaa/Settings/˝FolderWarning˝=0
HKEY_CURRENT_USER/Software/Kazaa/UserDetails/˝AutoConnected˝=1
– különböző figyelemfelkeltő neveken bemásolja magát a Kazaa megosztott könyvtárába
– megszerzi a felhasználó e-mailcímét a rendszerleíró adatbázis átvizsgálásával
– saját SMTP-motorja révén továbbítja magát egy, saját maga által meghatározott cím/domainnév lista kombinációira
