Connect with us

technokrata

Weboldalakat tesz elérhetetlenné az új Mydoom

Dotkom

Weboldalakat tesz elérhetetlenné az új Mydoom

Újabb változat kezdett terjedni a közismert Mydoom féregből.

A fertőzött levél tulajdonságai

Feladó: hamis e-mailcím

Tárgy: a következők valamelyike:
– Attention!!!
– Do not reply to this email
– Error
– Good day
– hello
– Mail Delivery System
– Mail Transaction Failed
– Server Report
– Status

Tartalom: néhány példa:
– The message contains Unicode characters and has been sent as a binary attachment.
– The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
– Mail transaction failed. Partial message is available.
– Thank you for registering at WORLDXXXPASS.COM
All your payment info, login and password you can find in the attachment file.
It´s a real good choise to go to WORLDXXXPASS.COM
– Attention! New self-spreading virus!
Be careful, a new self-spreading virus called “RTSW.Smash” spreading very fast via e-mail and P2P networks. It´s about two million people infected and it will be more.
To avoid your infection by this virus and to stop it we provide you with full information how to protect yourself against it and also including free remover. Your can find it in the attachment.
c 2004 Networks Associates Technology, Inc. All Rights Reserved
– New terms and conditions for credit card holders
Here a new terms and conditions for credit card holders using a credit cards for making purchase in the Internet in the attachment. Please, read it carefully. If you are not agree with new terms and conditions do not use your credit card in the World Wide Web.
Thank you,
The World Bank Group
c 2004 The World Bank Group, All Rights Reserved

Csatolmány: .bat, .cmd, .exe, .pif, .scr, .zip kiterjesztésű file, a következő nevek valamelyikével:
– body
– message
– docs
– data
– file
– rules
– doc
– readme
– document

A féreg paraméterei

Felfedezésének ideje: 2005. január 31.
Utolsó frissítés ideje: 2005. február 1.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP/2k3
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 34.304 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Terjedés megakadályozása: könnyű
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– létrehozza a következő állományokat a System könyvtárban: lsasrv.exe, version.ini; illetve a hserv.sys file-t az eredeti könyvtárban, ahol futtatásra került a féreg
– hozzáadja az lsass=[System elérési útvonala]/lsasrv.exe bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz; illetve a Shell=explorer.exe [System elérési útvonala]/lsasrv.exe bejegyzést a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon kulcshoz
– létrehozza a -=RTSW.Smash 0a2a0=- nevű mutexet, így akadályozva meg, hogy többször is betöltődjön a memóriába
– létrehoz egy szöveges file-t – Mes#wtelw.txt – a felhasználó ideiglenes állományokat tartalmazó könyvtárában, mely értelmetlen adatokat tartalmaz; ezt a file-t nyitja meg aztán a Notepad révén a felhasználó számára
– e-mailcímeket gyűjt a Windows address bookjából és különböző, a rendszeren található állományokból
– felmásolja magát a rendszerre telepített file-megosztó alkalmazások megosztott könyvtárába bat, pif, scr vagy exe kiterjesztéssel, s az alábbi nevekkel:
. porno
. NeroBROM6.3.1.27
. avpprokey
. Ad-awareref01R349
. winxp_patch
. adultpasswds
. dcom_patches
. K-LiteCodecPack2.34a
. activation_crack
. icq2004-final
. winamp5
– megkísérli leállítani a rendszerre telepített behatolásvédelmi szoftverek futó process-eit
– letölt egy állományt a wmspb.net webcímről, mely jelenleg egy 8 byte-os bináris file
– a hosts file módosításával elérhetetlenné tesz számos antivírus termékekkel foglalkozó oldalt
– saját SMTP-szervere révén továbbítja magát a megszerzett címekre (néhány kivétellel)



Szólj hozzá!

További Dotkom

Népszerű

Technokrata a Facebookon

IoT-Magazin.hu

Kütyük

Dotkom

Műszaki-Magazin.hu

Hirdetés
Hirdetés