Outlook segítségével terjedő féreg
Kristóf Csaba,
2004. október 28. -
Vírusvédelem
Hír küldése
A W32.Anpes@mm a Microsoft Outlook levelező szoftvert használja fel a terjedéséhez, és rengeteg módosítást hajt végre a megfertőzött számítógépeken.
A W32.Anpes@mm féreg a Microsoft Outlook szoftver segítségével elküldött elektronikus leveleken keresztül próbál meg minél több számítógépet megfertőzni. A féreg az Internet Explorer webböngésző beállításait úgy módosítja, hogy az a lehető legalacsonyabb biztonsági szinten működjön. A kártevő felhasználói fiók létrehozására is képes.
Amikor a W32.Anpes@mm elindul, akkor az alábbi műveleteket hajtja végre:
1. Bemásolja magát a Windows System könyvtárába 33.exe néven.
2. Megpróbálja létrehozni az alábbi fájlokat:
%Windir%\vtemp.dll
%Windir%\vtemp.vbs
%Windir%\winsnav.vbs
%Windir%\win32sp.vbs
3. A létrehozza a %System%\ntdll.dll.vbs fájlt.
4. Az aktuális könyvtárba készít egy Win32i.bat állományt.
5. A regisztrációs adatbázis
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main
kulcsához hozzáadja a
"Start Page" = "[startnow.com]" értéket.
Ezzel módosítja az Internet Explorer kezdőoldalát.
6. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
kulcsához hozzáadja a
"winXP" = "%System"\33.exe/background"
"windef" = "Win32sp.vbs -quiet"
"NAV Agent" = "%Windir%\winsnav.vbs" értékeket.
7. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunOnce
kulcsához hozzáadja a
"chkdsk" = "c:\autoexec.bat" értéket.
8. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Winlogon
kulcsához hozzáadja a
"LegalNoticeCaption" = "windows????"
"LegalNoticeText" = "windows??????,????0x6c5fb2???read, ????????????????[035]"
értékeket.
9. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Policies\Microsoft\ Internet Explorer\Restrictions
kulcsához hozzáadja a
"NoBrowserContextMenu" = "1"
"NoBrowserOptions" = "1"
"NoBrowserSaveAs" = "1"
"NoFileOpen" = "1"
"NoViewSource" = "1" értékeket.
10. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer
kulcsához hozzáadja a
"NoRun" = "1"
"NoClose" = "1"
"NoViewContextMenu" = "1"
"NoFileMenu" = "1" értékeket.
11. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\Software\Symantec\Norton Antivirus\FirstRun
kulcsához hozzáadja a
"Default" = "0" értéket.
12. Létrehoz egy "allen" nevű felhasználói fiókot, és ezt hozzáadja a "rendszergazda" csoporthoz.
13. A c:\autoexec.bat fájlhoz hozzáadja a következő sorokat:
"@echo off"
"@CHKDSK"
"@shutdown -s -t 300".
14. Összegyűjti a számítógépen található email címeket, és a Microsoft Outlook szoftver segítségével ezekre továbbküldi magát. A fertőzött levelek mellékletében vagy egy crackcode.rar.vbs vagy egy FreeMail.RAR.vbs fájl szerepel.
Amikor a W32.Anpes@mm elindul, akkor az alábbi műveleteket hajtja végre:
1. Bemásolja magát a Windows System könyvtárába 33.exe néven.
2. Megpróbálja létrehozni az alábbi fájlokat:
%Windir%\vtemp.dll
%Windir%\vtemp.vbs
%Windir%\winsnav.vbs
%Windir%\win32sp.vbs
3. A létrehozza a %System%\ntdll.dll.vbs fájlt.
4. Az aktuális könyvtárba készít egy Win32i.bat állományt.
5. A regisztrációs adatbázis
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main
kulcsához hozzáadja a
"Start Page" = "[startnow.com]" értéket.
Ezzel módosítja az Internet Explorer kezdőoldalát.
6. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
kulcsához hozzáadja a
"winXP" = "%System"\33.exe/background"
"windef" = "Win32sp.vbs -quiet"
"NAV Agent" = "%Windir%\winsnav.vbs" értékeket.
7. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunOnce
kulcsához hozzáadja a
"chkdsk" = "c:\autoexec.bat" értéket.
8. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Winlogon
kulcsához hozzáadja a
"LegalNoticeCaption" = "windows????"
"LegalNoticeText" = "windows??????,????0x6c5fb2???read, ????????????????[035]"
értékeket.
9. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Policies\Microsoft\ Internet Explorer\Restrictions
kulcsához hozzáadja a
"NoBrowserContextMenu" = "1"
"NoBrowserOptions" = "1"
"NoBrowserSaveAs" = "1"
"NoFileOpen" = "1"
"NoViewSource" = "1" értékeket.
10. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer
kulcsához hozzáadja a
"NoRun" = "1"
"NoClose" = "1"
"NoViewContextMenu" = "1"
"NoFileMenu" = "1" értékeket.
11. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\Software\Symantec\Norton Antivirus\FirstRun
kulcsához hozzáadja a
"Default" = "0" értéket.
12. Létrehoz egy "allen" nevű felhasználói fiókot, és ezt hozzáadja a "rendszergazda" csoporthoz.
13. A c:\autoexec.bat fájlhoz hozzáadja a következő sorokat:
"@echo off"
"@CHKDSK"
"@shutdown -s -t 300".
14. Összegyűjti a számítógépen található email címeket, és a Microsoft Outlook szoftver segítségével ezekre továbbküldi magát. A fertőzött levelek mellékletében vagy egy crackcode.rar.vbs vagy egy FreeMail.RAR.vbs fájl szerepel.
Hozzászólások