.biztonságportál
Főoldal Biztonságportál Videó Céginfo Karrier Konferencia Lapozó Letöltés Szoftverbolt
címlap adatbiztonság fenyegetettségek spamszűrés vírusvédelem
Hírlevél Webcast Podcast Események

Regisztráció

Átformálja a Windows lelkét a Vispat féreg

Kristóf Csaba, 2007. augusztus 29. - Vírusvédelem
Computerworld címkék:

Hír küldése

Ajánlom ismerősömnek Nyomtatás Startlaphoz adom

Az elektronikus levelekben terjedő Vispat.C féreg elsősorban a regisztrációs adatbázis jelentős mértékű módosításával okoz károkat és kellemetlenségeket.

A Vispat.C féreg a terjedéséhez szükséges email címeket a Windows címjegyzékéből gyűjti össze, majd a megszerzett címekre olyan leveleket küldözget, amelyek egy documenti.zip nevű fájlt tartalmaznak. A féreg elsősorban a regisztrációs adatbázis módosítgatásával okoz problémát. Így például megváltoztatja az Internet Explorer kezdőoldalát, és egyéb biztonsági beállításait. Ezt követően létrehoz egy új postafiókot az Outlook Express levelezőszoftverben, és megpróbálja elrejteni a saját fájljait. A Vispat.C néhány új parancsikont is létrehoz a Windowsban.

Amikor a Vispat.C féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő bejegyzéseket:
%UserProfile%\Application Data\Microsoft\Address Book\[felhasználónév].wab
%UserProfile%\Local Settings\Application Data\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Microsoft\Outlook Express\Folders.dbx
%UserProfile%\Local Settings\Application Data\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Microsoft\Outlook Express\Inbox.dbx
%UserProfile%\Local Settings\Application Data\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Microsoft\Outlook Express\Offline.dbx
%System%\officeparam.dll
%System%\scansvc\trust\documenti_personali.exe
%System%\windowslite.pbk
%SystemDrive%\documenti.zip

2. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzést:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"documenti_personali.exe" = "%System%\scansvc\trust\documenti_personali.exe"

3. A regisztrációs adatbázisban módosítja a következő értéket:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Start Page" = "[http://]www.katasearch.com"

4. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzést:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains

5. A regisztrációs adatbázis módosításával megváltoztatja az Internet Explorer "Megbízható helyek" biztonsági zónájának beállításait:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"MinLevel" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"RecommendedLevel" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1001" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1004" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1200" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1201" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1400" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1402" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1405" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1406" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1407" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1609" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1800" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\"1803" = "0"

6. Megpróbálja elrejteni magát a regisztrációs adatbázis alábbiak szerinti módosításával:
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden" = "0"
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "0"
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"SuperHidden" = "0"

7. A regisztrációs adatbázisban létrehozza a következő bejegyzést:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{16C7013F-912E-42ac-AA8E-A10A180DFF51}

8. Létrehozza a következő parancsikonokat:
%UserProfile%\Desktop\Foto Personali.lnk
%UserProfile%\Desktop\Microsoft IE Link.lnk
%UserProfile%\Start Menu\Foto Personali.lnk

9. Létrehoz egy új postafiókot az Outlook Expressben:
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Software\Microsoft\Outlook Express\5.0\"SpellDontIgnoreDBCS" = "1"
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Software\Microsoft\Outlook Express\5.0\"MSIMN" = "1"
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Software\Microsoft\Outlook Express\5.0\"StoreMigratedV5" = "1"
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Software\Microsoft\Outlook Express\5.0\"ConvertedToDBX" = "1"
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Software\Microsoft\Outlook Express\5.0\"Settings Upgraded" = "7"

HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Software\Microsoft\Outlook Express\5.0\"Running" = "1"
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Software\Microsoft\Outlook Express\5.0\"Store Root" = "%UserProfile%\Local Settings\Application Data\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Microsoft\Outlook Express\"
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Software\Microsoft\Outlook Express\5.0\Mail\"Welcome Message" = "0"
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Software\Microsoft\Outlook Express\5.0\Mail\"Accounts Checked" = "00 00 00 00"
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Software\Microsoft\Outlook Express\5.0\Mail\"Safe Attachments" = "1"
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Software\Microsoft\Outlook Express\5.0\Mail\"Secure Safe Attachments" = "1"
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Software\Microsoft\Outlook Express\5.0\News\"Accounts Checked" = "00 00 00 00"
HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\"ConnectionSettingsMigrated" = "1"
HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4\Wab File Name\"(Default)" = "%UserProfile%\Application Data\Microsoft\Address Book\[USER NAME].wab"
HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4\"OlkContactRefresh" = "0"
HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4\"OlkFolderRefresh" = "0"

10. A Windows címjegyzékéből összegyűjti az email címeket, amelyekre továbbküldi saját magát:

A fertőzött levelek tárgya lehet:
Guarda che stai rompendo !

A fertőzött levelek mellékletéhez tartozó fájl neve: documenti.zip

Hozzászólások

Nincsenek még hozzászólások. Legyen Ön az első!

Karrier

Computerworld hírek

Szponzorált linkek:
LG Klíma, Mobil Klíma Akció -WEBÁRUHÁZ- LG, Samsung, Hitachi klíma országos házhozszállítással. Tegye próbára árainkat. Inverteres klíma akció. LG Art Cool Árleszállítás!!!
Tetőablak akció a Velux-Shop-ban! Velux tetőtéri ablakok, tetőtéri ablak kiegészítők (redőny, reluxa, stb) és egyéb VELUX termékek széles választékban, országos házhozszállítással!
*LOGalyze, SOPHOS, Juniper és Websense a ZURIEL-től!* Naplóinfrastruktúra, logelemzés, hálózati határvédelem, és minden ami IT üzemeltetés egy igazi specialistától. ZURIEL - A szürke eminenciás
CégMátrix szolgáltatás- és termékkereső portál Itt megtalálja a keresett terméket, szolgáltatást, márkát, céget - cégadatokkal: név, cím, telefon, fax, web, nyitva tartás. WAP-on is! Erdélyben:Erdélyi Céginfó
Terjessze és lapozza céges anyagait online Alakítsa át nyomtatott termékkatalógusát, prospektusát, prezentációját... Eredetivel azonos megjelenés, szabadszavas keresés,
Google által felismerheto tartalom, aktív linkek, nyomtatás, stb.
kiadó | impresszum | hirdetési ajánlatunk | adatvédelmi elveink
Partnereink: Biztonságportál.hu | aHírek.hu | Hírkereső | Hírstart | TOPPON! | C.Enter
IT Network: PCWorld.hu | GameStar.hu | WorldofWarcraft.hu | nonstopMobil.hu | WCG | HWSW.hu | GameKapocs.hu | buzz.hu