Jegyzettömböt fertőző vírus
Kristóf Csaba,
2006. június 25. -
Vírusvédelem
Hír küldése
Az Amirecivel.E féreg elsősorban elektronikus leveleken keresztül terjed, de már egyes fájlcserélő hálózatok révén is veszélyezteti a számítógépeket.
Az Amirecivel.E féreg a fertőzött számítógépeken található különböző kiterjesztésű fájlokból összegyűjti az email címeket. Ezt követően bemásolja magát a fájlcserélő szoftverek megosztott könyvtáraiba. A féreg a Windows Jegyzettömbjéből (%Windir%\notepad.exe) készít egy másolatot, és az eredeti fájlt felülírja saját magával.
Az Amirecivel.E legfőbb veszélye, hogy leállítja a biztonsági szoftverekhez tartozó folyamatokat, és ezáltal a fertőzött számítógépeket további kártékony programoknak szolgáltatja ki. A féreg abban az esetben képes a fertőzésre, ha a Microsoft .Net Framework 2.0 keretrendszer is megtalálható az érintett PC-ken.
Amikor az Amirecivel.E elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
C:\symantec.exe
D:\fun.pic.scr
E:\wow.pif
F:\mail.cmd
%System%\winlogon.cab.exe
2. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
kulcsához hozzáadja a
"SadNet" = "%System%\winlogon.cab.exe" értéket.
3. A regisztrációs adatbázisban létrehozza a következő kulcsot:
HKEY_CURRENT_USER\SadNet
4. Bemásolja magát a fájlcserélő szoftverek megosztott könyvtáraiba
5. A %Windir%\notepad.exe fájlt elmenti %System%\AmirCivil.exe néven.
6. A Windows könyvtárában lévő notepad.exe fájlt felülírja saját magával.
7. Különböző kiterjesztésű fájlokból összegyűjti az email címeket, amelyekre továbbküldi saját magát.
A fertőzött levelek tárgya lehet:
Account notify
do you know AmirCivil?
Document
E-mail account disabling warning
Email account utilization warning.
E-mail technical support message.
E-mail warning
Encrypted document
Fax Message
Fax Message Received
Forum notify
Incoming Message
mcafee
Message Notify
panda
Protected message
symantec
Text message
Thank you!
Yahoo!
A fertőzött levelek mellékletéhez tartozó fájl neve lehet:
AmirCivil.pic.cmd
fullmessenger.exe
readme.html.cmd
register.pif
sexy-screensaver.scr
8. Leállítja a biztonsági szoftverekhez tartozó folyamatokat.
Az Amirecivel.E legfőbb veszélye, hogy leállítja a biztonsági szoftverekhez tartozó folyamatokat, és ezáltal a fertőzött számítógépeket további kártékony programoknak szolgáltatja ki. A féreg abban az esetben képes a fertőzésre, ha a Microsoft .Net Framework 2.0 keretrendszer is megtalálható az érintett PC-ken.
Amikor az Amirecivel.E elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
C:\symantec.exe
D:\fun.pic.scr
E:\wow.pif
F:\mail.cmd
%System%\winlogon.cab.exe
2. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
kulcsához hozzáadja a
"SadNet" = "%System%\winlogon.cab.exe" értéket.
3. A regisztrációs adatbázisban létrehozza a következő kulcsot:
HKEY_CURRENT_USER\SadNet
4. Bemásolja magát a fájlcserélő szoftverek megosztott könyvtáraiba
5. A %Windir%\notepad.exe fájlt elmenti %System%\AmirCivil.exe néven.
6. A Windows könyvtárában lévő notepad.exe fájlt felülírja saját magával.
7. Különböző kiterjesztésű fájlokból összegyűjti az email címeket, amelyekre továbbküldi saját magát.
A fertőzött levelek tárgya lehet:
Account notify
do you know AmirCivil?
Document
E-mail account disabling warning
Email account utilization warning.
E-mail technical support message.
E-mail warning
Encrypted document
Fax Message
Fax Message Received
Forum notify
Incoming Message
mcafee
Message Notify
panda
Protected message
symantec
Text message
Thank you!
Yahoo!
A fertőzött levelek mellékletéhez tartozó fájl neve lehet:
AmirCivil.pic.cmd
fullmessenger.exe
readme.html.cmd
register.pif
sexy-screensaver.scr
8. Leállítja a biztonsági szoftverekhez tartozó folyamatokat.
Hozzászólások