Új variánsa jelent meg az Atak féregnek
Kristóf Csaba,
2004. december 6. -
Vírusvédelem
Hír küldése
A W32.Atak.B@mm féreg elektronikus leveleken keresztül viszonylag gyorsan kezdett elterjedni.
A W32.Atak.B@mm féreg saját SMTP komponenssel rendelkezik, melynek segítségével a fertőzött számítógépekről összegyűjtött email címekre továbbítja magát. A féreg "Visual C++"-ban íródott, és a mérete körülbelül 12KB.
Amikor a W32.Atak.B@mm elindul, akkor az alábbi műveleteket hajtja végre:
1. Bemásolja magát a Windows System könyvtárába %System%\a1g.exe néven.
2. A Win.ini fájlhoz hozzáadja a következő sort:
load = %System%\a1g.exe
3. A regisztrációs adatbázis
HKEY_CURRRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows
kulcsához hozzáadja a
load=%sysdir%\a1g.exe értéket.
4. Létrehoz egy "mtxSSS" mutexet annak érdekében, hogy a féreg csak egyszer fusson a rendszerben.
5. A saját SMTP komponensének segítségével emaileken keresztül továbbküldi magát. Az email címeket az alábbi kiterjesztésű fájlokból gyűjti össze:
log
eml
mht
dbx
asp
php
jsp
htm
txt
A fertőzött levelek tárgya lehet:
It's begin here!
First Match!
microsoft
A fertőzött levelek üzenete lehet:
Hello [random username from one of the email addresses collected]
Your request has been accepted
Your account info:
>> Email:
>> Password: [random characters]
Visit our website to get more info at: http://www.[domain matches the username given in the 'Hello' line]
NOTE: All your account information has been attached as file and ready to be printed.
Amikor a W32.Atak.B@mm elindul, akkor az alábbi műveleteket hajtja végre:
1. Bemásolja magát a Windows System könyvtárába %System%\a1g.exe néven.
2. A Win.ini fájlhoz hozzáadja a következő sort:
load = %System%\a1g.exe
3. A regisztrációs adatbázis
HKEY_CURRRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows
kulcsához hozzáadja a
load=%sysdir%\a1g.exe értéket.
4. Létrehoz egy "mtxSSS" mutexet annak érdekében, hogy a féreg csak egyszer fusson a rendszerben.
5. A saját SMTP komponensének segítségével emaileken keresztül továbbküldi magát. Az email címeket az alábbi kiterjesztésű fájlokból gyűjti össze:
log
eml
mht
dbx
asp
php
jsp
htm
txt
A fertőzött levelek tárgya lehet:
It's begin here!
First Match!
microsoft
A fertőzött levelek üzenete lehet:
Hello [random username from one of the email addresses collected]
Your request has been accepted
Your account info:
>> Email:
>> Password: [random characters]
Visit our website to get more info at: http://www.[domain matches the username given in the 'Hello' line]
NOTE: All your account information has been attached as file and ready to be printed.
Hozzászólások