.hu
Főoldal Biztonságportál Videó Céginfo Karrier (ÚJ) Konferencia Apró Lapozó Letöltés Szoftverbolt
címlap CIO üzlet technológia telekom e-gov dokumentumkezelés
Hírlevél Webcast Podcast Események

Regisztráció

PC-k védelmét gyengíti az Assiral féreg

Kristóf Csaba, 2005. március 6. - Vírusvédelem
Computerworld címkék:

Hír küldése

Ajánlom ismerősömnek Nyomtatás Startlaphoz adom

A W32.Assiral.B@mm féreg elektronikus leveleken keresztül meglehetősen gyors terjedésre képes.

A W32.Assiral.B@mm féreg elsősorban elektronikus leveleken keresztül terjed. A féreg biztonsági alkalmazásokhoz tartozó folyamatok leállításával próbálja tovább gyengíteni a fertőzött számítógépek védelmi szintjét.

Amikor a W32.Assiral.B@mm elindul, akkor az alábbi műveleteket hajtja végre:

1. Bemásolja magát az alábbi könyvtárakba:
%Windir%\SP00Lsv32.pif
%System%\MSLARISSA.pif
%System%\CmdPrompt32.pif

2. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
kulcsához hozzáadja a
"MSLARISSA" = "%System%\MSLARISSA.pif"
"Command Prompt32" = "%System%\CmdPrompt32.pif"
"(L4r1$$4) (4nt1) (V1ruz)" = "%Windir%\SP00Lsv32.pif" értékeket.

3. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a rendszerben.

4. Létrehozza, majd lefuttatja az alábbi állományt:
C:\WINDOWS\WinVBS.vbs.

5. Beállítja a regisztrációs adatbázis következő értékeit:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\Explorer\"NoRun" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\System\"DisableRegistryTools" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\WinOldApp\"Disabled" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\Explorer\"NoDrives" = "67108863"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\System\"NoAdminPage" = "1"

Ezzel kikapcsolja a Windows számos funkcióját.

6. Elindít egy webböngészőt, és letölt egy Trojan.Klassir nevű trójait.

7. Leállítja a víruskeresőkhöz és egyéb biztonsági szoftverekhez tartozó folyamatokat.

8. Letörli az alábbi könyvtárakban található DLL és EXE kiterjesztésű fájlokat.
C:\WINDOWS\System32
C:\WINDOWS\System
C:\WINDOWS

9. Megjelenít egy hibaüzenetet "System Error" címsorral és "Invalid memory address: Program terminating." üzenettel.

10. Létrehoz három szöveges fájlt az alábbi neveken:
C:\MESSAGE_TO_USER.txt
C:\MESSAGE_TO_AVs.txt
C:\MESSAGE_TO_BROPIA.txt

11. A saját SMTP komponensének segítségével elektronikus levelek útján megpróbálja magát továbbküldeni.

A fertőzött levelek tárgya lehet:
Re: Message
Re: Letter
Re: Information
I LOVE YOU
Re: Your Documents
Re: Account Info
Windows Update
Re: My Letter
Re: Docs
Re: Your Email Info

A fertőzött levelek üzenete lehet:
The message is located in the attachments.
The letter you requested is in the attachments.
Information attached.
Kindly read and reply to my LOVE LETTER in the attachments :-)
The documents you requested are in the attachments.
Info reguarding your Email account is in the attachments.
Dear Windows User,
Please download the windows update included in the attachments.
My letter is in the attachments.
Please read the documents included in the attachments
Your email account is about to expire, please check the attachments for details.

A fertőzött levelek mellékletében szereplő fájlok neve az alábbi listából kerül ki:
Letter.exe
Information.exe
LOVE_LETTER_FOR_YOU.exe
Documents.exe
Attached_Message.exe
Microsoft_Update.exe
Private_Letter.exe
Private_Document.exe
Important_Message.exe.

Hozzászólások

Nincsenek még hozzászólások. Legyen Ön az első!

Karrier

Computerworld hírek

Szponzorált linkek:
Terjessze és lapozza céges anyagait online Alakítsa át nyomtatott termékkatalógusát, prospektusát, prezentációját... Eredetivel azonos megjelenés, szabadszavas keresés,
Google által felismerheto tartalom, aktív linkek, nyomtatás, stb.
CégMátrix szolgáltatás- és termékkereső portál Itt megtalálja a keresett terméket, szolgáltatást, márkát, céget - cégadatokkal: név, cím, telefon, fax, web, nyitva tartás. WAP-on is! Erdélyben:Erdélyi Céginfó
*LOGalyze, SOPHOS, Juniper és Websense a ZURIEL-től!* Naplóinfrastruktúra, logelemzés, hálózati határvédelem, és minden ami IT üzemeltetés egy igazi specialistától. ZURIEL - A szürke eminenciás
kiadó | impresszum | hirdetési ajánlatunk | adatvédelmi elveink
Partnereink: Biztonságportál.hu | aHírek.hu | Hírkereső | Hírstart | TOPPON! | C.Enter
IT Network: PCWorld.hu | GameStar.hu | WorldofWarcraft.hu | nonstopMobil.hu | WCG | HWSW.hu | GameKapocs.hu | buzz.hu
IDG Worldwide: computerwoche.de | computerwelt.at | computerworld.ch | computerworld.ro