.hu
Főoldal Biztonságportál Videó Céginfo Karrier Konferencia Lapozó Letöltés Szoftverbolt
címlap CIO üzlet technológia telekom e-gov dokumentumkezelés
Hírlevél Webcast Podcast Események

Regisztráció

Nehézkesen írtható a Vispat.A féreg

Kristóf Csaba, 2007. július 10. - Vírusvédelem
Computerworld címkék:

Hír küldése

Ajánlom ismerősömnek Nyomtatás Startlaphoz adom

A Vispat.A féreg meglehetősen gyorsan terjed, és rengeteg módosítást végez a fertőzött számítógépeken, ami jelentősen megnehezíti a kártevő eltávolítását.

A Vispat.A féreg elektronikus levelek útján terjed. A féreg az Outlook Express szoftver címjegyzékében szerepelő email címekre továbbítja a saját állományát. A sikeres működése érdekében még egy új postafiókot is létrehoz, amelyről küldözgeti a leveleket.

A Vispat.A a regisztrációs adatbázisban rengeteg új bejegyzést hoz létre, és még több helyen módosítja a meglévő kulcsokat, illetve értékeket. Ezzel megváltoztatja a Windows néhány beállítását, és megpróbálja saját magát a lehető legjobban elrejteni. A kártevő időközönként elindít egy Internet Explorert, amelybe egy weboldalt jelenít meg, majd egy fájlt tölt le a Világhálózatról.

Amikor a Vispat.A féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%System%\dllconfig\cache\dllcache.exe

2. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzést:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"dllcache.exe" = "%System%\dllconfig\cache\dllcache.exe"

3. A regisztrációs adatbázisban módosítja az alábbi bejegyzést:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Start Page" = "[http://]www.internet-explorer.name/"

4. A regisztrációs adatbázishoz hozzáadja a következő bejegyzéseket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\coppiastrana.com
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\coppiastrana.com\www\"*" = "0x00000002"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\google-hard.com
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\google-hard.com\www\"*" = "0x00000002"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\vispateresa.biz
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\vispateresa.biz\www\"*" = "0x00000002"

5. A regisztrációs adatbázisban módosítja a következő bejegyzéseket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"MinLevel" = "0x00000000"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"RecommendedLevel" = "0x00000000"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1001" = "0x00000000"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1004" = "0x00000000"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1200" = "0x00000000"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1201" = "0x00000000"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1400" = "0x00000000"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1402" = "0x00000000"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1405" = "0x00000000"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1406" = "0x00000000"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1407" = "0x00000000"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1609" = "0x00000000"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1800" = "0x00000000"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1803" = "0x00000000"

6. A regisztrációs adatbázisban elvégzi az alábbi módosításokat:
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden" = "0"
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "0"
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"SuperHidden" = "0"

7. Létrehoz egy könyvtárat, és megnyitja az Internet Explorert. Ezt követően betölt egy weboldalt.

8. A regisztrációs adatbázisban módosítja a következő bejegyzéseket
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\{16C7013F-912E-42ac-AA8E-A10A180DFF51}
HKEY_CLASSES_ROOT\CLSID\{16C7013F-912E-42ac-AA8E-A10A180DFF51}\"Default" = "Foto Brasile"
HKEY_CLASSES_ROOT\CLSID\{16C7013F-912E-42ac-AA8E-A10A180DFF51}\DefaultIcon\"Default" = "%SystemRoot%\System32\shell32.dll,127"HKEY_CLASSES_ROOT\CLSID\{16C7013F-912E-42ac-AA8E-A10A180DFF51}\Shell\Open My Menu\"Command" = "C:\Program Files\Internet Explorer\iexplore.exe http://google-hard.com"

9. A regisztrációs adatbázis módosításával létrehoz egy új postafiókot az Outlook Express szoftverben:
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Software\Microsoft\Outlook Express\5.0\"SpellDontIgnoreDBCS" = "0x00000001"
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Software\Microsoft\Outlook Express\5.0\"MSIMN" = "0x00000001"
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Software\Microsoft\Outlook Express\5.0\"StoreMigratedV5" = "0x00000001"
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Software\Microsoft\Outlook Express\5.0\"ConvertedToDBX" = "0x00000001"
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Software\Microsoft\Outlook Express\5.0\"Settings Upgraded" = "0x00000007"
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Software\Microsoft\Outlook Express\5.0\"Running" = "0x00000001"
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Software\Microsoft\Outlook Express\5.0\"Store Root" = "%UserProfile%\Local Settings\Application Data\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Microsoft\Outlook Express\"
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Software\Microsoft\Outlook Express\5.0\Mail\"Welcome Message" = "0x00000000"
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Software\Microsoft\Outlook Express\5.0\Mail\"Accounts Checked" = "00 00 00 00"
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Software\Microsoft\Outlook Express\5.0\Mail\"Safe Attachments" = "0x00000001"
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Software\Microsoft\Outlook Express\5.0\Mail\"Secure Safe Attachments" = "0x00000001"
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Software\Microsoft\Outlook Express\5.0\News\"Accounts Checked" = "00 00 00 00"
HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4\Wab File Name\"Default" = "%UserProfile%\Application Data\Microsoft\Address Book\%USERNAME%.wab"
HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4\"OlkContactRefresh" = "0x00000000"
HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4\"OlkFolderRefresh" = "0x00000000"
HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4\"FirstRun" = "0x00000001"

10. Létrehozza a következő parancsikonokat, illetve hivatkozásokat:
%UserProfile%\Desktop\Internet Explorer.lnk
%UserProfile%\Desktop\VM18.lnk
%UserProfile%\Start Menu\Hard Explorer.lnk
%UserProfile%\Start Menu\Ultimi siti visitati.lnk

11. Letölt egy fájlt az Internetről, és elmenti azt az alábbiak szerint:
%Windows%\Downloaded Program Files\login.exe

12. Létrehozza a következő fájlt:
%System%\scansvc\trust\mpeg-video03.exe

13. A regisztrációs adatbázisban módosítja a következő bejegyzést:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"mpeg-video03.exe" = "%System%\scansvc\trust\mpeg-video03.exe"

14. Az Outlook Express címjegyzékében szereplő címekre továbbküldi saját magát.

A fertőzött levelek tárgya:
Indagine Privata

A fertőzött levelek mellékletéhez tartozó fájl neve:
mpeg-video00[egy számjegy].zip.

Hozzászólások

Nincsenek még hozzászólások. Legyen Ön az első!

Karrier

Computerworld hírek

Szponzorált linkek:
LG Klíma, Mobil Klíma Akció -WEBÁRUHÁZ- LG, Samsung, Hitachi klíma országos házhozszállítással. Tegye próbára árainkat. Inverteres klíma akció. LG Art Cool Árleszállítás!!!
Tetőablak akció a Velux-Shop-ban! Velux tetőtéri ablakok, tetőtéri ablak kiegészítők (redőny, reluxa, stb) és egyéb VELUX termékek széles választékban, országos házhozszállítással!
*LOGalyze, SOPHOS, Juniper és Websense a ZURIEL-től!* Naplóinfrastruktúra, logelemzés, hálózati határvédelem, és minden ami IT üzemeltetés egy igazi specialistától. ZURIEL - A szürke eminenciás
CégMátrix szolgáltatás- és termékkereső portál Itt megtalálja a keresett terméket, szolgáltatást, márkát, céget - cégadatokkal: név, cím, telefon, fax, web, nyitva tartás. WAP-on is! Erdélyben:Erdélyi Céginfó
Terjessze és lapozza céges anyagait online Alakítsa át nyomtatott termékkatalógusát, prospektusát, prezentációját... Eredetivel azonos megjelenés, szabadszavas keresés,
Google által felismerheto tartalom, aktív linkek, nyomtatás, stb.
kiadó | impresszum | hirdetési ajánlatunk | adatvédelmi elveink
Partnereink: Biztonságportál.hu | aHírek.hu | Hírkereső | Hírstart | TOPPON! | C.Enter
IT Network: PCWorld.hu | GameStar.hu | WorldofWarcraft.hu | nonstopMobil.hu | WCG | HWSW.hu | GameKapocs.hu | buzz.hu