Connect with us

technokrata

Újra fertőz a Mugly féreg

Dotkom

Újra fertőz a Mugly féreg

˝Te vagy a képen?˝, ˝Olyasvalaki küldi, aki szerint csodálatos vagy!˝, ˝Részegen készült rólam a kép, megnézed?˝ és hasonló figyelemfelkeltő szövegekkel igyekszik felcsigázni az angolul tudók figyelmét a Mugly féreg legújabb változata.

A fertőzött e-mail tulajdonságai

Feladó: megkísérli lekérdezni a HKEY_CURRENT_USER/Software/Microsoft/Internet Account Manager/Accounts/00000001/SMTP Email Address Registry kulcs tartalmát, és ha sikerrel jár, innen választ egyet; ha nem, akkor a következők valamelyikét használja fel:
– adead_poet@hotmail.com
– alex_edwards2000@msn.com
– apiffany@cnet.com
– blowjob_lips666@romance.com
– britany_slut56@sex.com
– cutie_pie@ogrish.com
– easy_lay666@lovenet.com
– good_fuck12@yahoo.com
– hunk_hogan78@hallmark.com
– mucle_bound_hunk892@download.com
– romeorichard@google.com
– sexy_guy88@aol.com
– sexy_lil_thing@no-ip.com
– tit_fuck_909@gmail.com
– tit_fuck_909@paltalk.com

Tárgy: a következők valamelyike:
– Hhahahah lol!!!!
– Your Pic On A Website!!
– You have an Admirer
– Rate My Pic…….

Tartalom: az alábbiak közül egy:
– i found this on my computer from ages ago
download it and see if you can remember it
lol i was lauging like mad when i saw it! 😀
email me back haha…
– I was looking at a website and came across
this pic they look just like you! infact im sure
it is lol , did you send this pic into them ? or
is it someonce else :S ? Ive Added the pic in
a zip so download it and check & email me back!
– Hi ive sent 5 emails now and nobody will rate
my pic!! 🙁 please download and tell me what you
think out of 10 , dont worry if you dont like it
just say i wont be offended p.s i was drunk when
it was taken 😛
– Someone has asked us on there behalf to send
you this email and tell you they think you are
wonderfull!!! All the The mystery persons details
you need are enclosed in the attachment 🙂
please download and respond telling us if you
would like to make further contact with this
person.

Regards Hallmark Admirer Mail Admin.

Csatolmány: attached.zip, ami a következő file-ok valamelyikét tartalmazza:
– Photo_01.jpg.scr
– Pic_001.jpg.scr
– Scan_04.jpg.scr
– Sexy_09.jpg.scr
– admire_001.jpg.scr
– for_you.jpg.scr
– is_this_you.jpg.scr
– love_04.jpg.scr

A féreg paraméterei

Felfedezésének ideje: 2005. január 14.
Utolsó frissítés ideje: 2005. január 15.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 345.600 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– felmásolja magát a System könyvtárba xxz.tmp névvel
– létrehozza a következő file-okat ugyanitt:
• attached.zip
• ANSMTP.DLL
• bszip.dll
• uglym.jpg
– szintén ezen a helyen létrehozza a W32.Spybot.Worm féreg másolatát is, mely a következő nevek valamelyikén jelenik meg a rendszerben:
• adaware.exe
• adware.exe
• bt32.exe
• lexplore.exe
• winprotectt.exe
• vb6.exe
– megjeleníti az uglym.jpg képet
– a következő kiterjesztéssel bíró file-okból összegyűjti az e-mailcímeket: .wab, .adb, .tbb, .dbx, .asp, .php, .htm, .ht, .sht, .txt, .doc
– elküldi magát minden címre, amit talált, kivéve azokat, melyekben az alábbi stringek valamelyikét megtalálja:
• adaware
• nod32
• trendmicro
• avguk
• grisoft
• pandasoftware
• sophos
• .gov
• symantec
• lavasoft
• mcafee
• kaspersky
– saját SMTP-motorját beregisztrálja az alábbi Registry kulcsok létrehozásával:
. HKEY_CLASSES_ROOT/ANSMTP.MassSender
. HKEY_CLASSES_ROOT/ANSMTP.MassSender.1
. HKEY_CLASSES_ROOT/ANSMTP.OBJ
. HKEY_CLASSES_ROOT/ANSMTP.OBJ.1
. HKEY_CLASSES_ROOT/CLSID/{253664FB-EDFC-4AC6-BD69-B322F466AEED}
. HKEY_CLASSES_ROOT/CLSID/{887A577B-406B-48FF-80CB-70752BFCD7B4}
. HKEY_CLASSES_ROOT/TypeLib/{DE6317F7-6EF0-45C2-88D1-8E09415817F1}
. HKEY_CLASSES_ROOT/Interface/{68B8DCDB-EFA4-420A-BB8A-71B9892A2063}
. HKEY_CLASSES_ROOT/Interface/{1E98666F-6260-42C9-B846-32B20FDEFE7B}
. HKEY_CLASSES_ROOT/Interface/{A5F6C90C-ABE4-4C57-A421-8C5A202AA9F8}
. HKEY_CLASSES_ROOT/Interface/{B13281CF-8778-4C98-AE23ABBA4637A33D}
– hozzáadja az upme=[file név] bejegyzést az alábbi Registry kulcsokhoz:
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
. HKEY_CURRENT_USER/Software/Microsoft/OLE



Szólj hozzá!

További Dotkom

Népszerű

Technokrata a Facebookon

IoT-Magazin.hu

Kütyük

Dotkom

Műszaki-Magazin.hu

Hirdetés
Hirdetés