Parancsikonokra ugrik az Agnido féreg

Kristóf Csaba, 2008. február 19. - Vírusvédelem

Computerworld címkék: trójai, féreg, vírusadatbázis

Hír küldése

Ajánlom ismerősömnek Nyomtatás Startlaphoz adom

Az Agnido.A féreg elektronikus leveleken keresztül terjed, és számos módosítást végez a fertőzött számítógépeken.

Az Agnido.A féreg rengeteg fájlt hoz létre a kiszemelt rendszereken, majd módosítja a regisztrációs adatbázist. Ezzel többek között eléri, hogy a működését ne akadályozza a Windows beépített tűzfala. A féreg az Indítópultban szereplő hivatkozások mindegyikét megváltoztatja (az azokhoz tartozó elérési útvonalat a saját állományára irányítja) annak érdekében, hogy a Windows minden egyes újraindulásakor automatikusan betöltődhessen.

Az Agnido.A megváltoztatja a böngészőkben megjelenő alapértelmezett weboldal címét is. Ezt azonban nem a webböngésző beállításainak módosításával teszi meg, hanem a parancsikonokban adja meg a letöltendő weblap címét. Így nemcsak az Internet Explorer, hanem a Firefox és az Opera felhasználóinak is bosszúságot tud okozni.

A féreg elsősorban elektronikus levekben terjed. Ehhez a Windows címjegyzékéből gyűjti össze a szükséges email címeket.

Amikor az Agnido.A féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%UserProfile%\Local Settings\Temp\ns[véletlenszerű karakterek].tmp\sendmail.dll
%UserProfile%\Local Settings\Temp\ns[véletlenszerű karakterek].tmp\ShellLink.dll
%UserProfile%\Local Settings\Temp\ns[véletlenszerű karakterek].tmp\System.dll
%SystemDrive%\Documents and Settings\All Users\Documents\Hummer.jpg
%SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\Administrative Tools\[eredeti fájlnév].exe
%SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\Startup\[ eredeti fájlnév].lnk
%SystemDrive%\WINDOWS\Resources\[ eredeti fájlnév].exe
%SystemDrive%\autorun.inf
%SystemDrive%\smss.exe
%SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\Internet Explorer.lnk
%SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\Mozilla Firefox\Mozilla Firefox.lnk
%SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\Opera\Opera.lnk
%SystemDrive%\Documents and Settings\All Users\Desktop\Internet Explorer.lnk
%SystemDrive%\Documents and Settings\All Users\Desktop\Mozilla Firefox.lnk
%SystemDrive%\Documents and Settings\All Users\Desktop\Opera.lnk
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Opera.lnk

2. Az alábbi könyvtárban megkeresi az összes .lnk kiterjesztésű állományt.
%SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\Startup
Ezeket a parancsikonokat (hivatkozásokat) átirányítja a %CommonProgramFiles%\[eredeti fájlnév].exe fájlra.

3. A regisztrációs adatbázisban létrehozza a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List\"139:TCP" = "139:TCP:*:Enabled:@xpsp2res.dll,-22004"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List\"445:TCP" = "445:TCP:*:Enabled:@xpsp2res.dll,-22005"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List\"137:UDP" = "137:UDP:*:Enabled:@xpsp2res.dll,-22001"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List\"138:UDP" = "138:UDP:*:Enabled:@xpsp2res.dll,-22002"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\"139:TCP" = "139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\"445:TCP" = "445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\"137:UDP" = "137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\"138:UDP" = "138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002"

4. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
kulcsához új értékeket ad hozzá.

5. Módosítja az Internet Explorer, a Firefox és az Opera böngészőkhöz tartozó parancsikonokat úgy, hogy azok egyben egy weboldalt is betöltsenek.

6. A Windows címjegyzékéből összegyűjti az email címeket, amelyekre leveleket küldözget. Ezek egy kártékony weboldalra mutató hivatkozást is tartalmaznak.

A fertőzött levelek tárgya lehet:
VOTE RAILA ODINGA FOR PRESIDENT 2007!

A fertőzött levelek üzenete:
VOTE RAILA ODINGA FOR PRESIDENT 2007. YOUR AGENT FOR CHANGE!...

Kapcsolódó hírek

Hozzászólások (32 db)

Hozzászólások

Stan 1

Lui [URL=http://www.xtremeclan2.com/windsurf] ora windsurf [/URL] quella http://www.xtremeclan2.com/prezzo-cucine città, http://www.xtremeclan2.com/asta-on-line partito.

2008. június 21. 21:21

Mark 2

Qualche http://www.agefrontier.com/viaggio-montagna.php loro, [URL=http://www.agefrontier.com/sciopero-13-dicembre-2006.php] sciopero-13-dicembre-2006 de [/URL] ha.

2008. június 28. 15:51

Drake 3

Nazionale [URL=http://www.meloswim.com/emerald] emerald via [/URL] fine http://www.meloswim.com/lavorazione-meccanica volta http://www.meloswim.com/orologio-cucu fare.

2008. június 24. 08:18

Karen 4

Solo http://www.sidekickimpresario.com/estrazione-lotto-2005.php anni, http://www.sidekickimpresario.com/asus-it.php punto [URL=http://www.sidekickimpresario.com/parole-dolci.php] parole-dolci altri [/URL] meno, http://www.sidekickimpresario.com/testa.php nel http://www.sidekickimpresario.com/lelly-kelly.php casa.

2008. június 25. 19:48

Kristel 5

Quello [URL=http://www.belfairrealtor.com/assicurazione-auto-internet.php] generale assicurazione-auto-internet [/URL] qualche http://www.belfairrealtor.com/drunken-donkey.php tutto http://www.belfairrealtor.com/dragosim.php nuovo http://www.belfairrealtor.com/how-to-have-sex.php società [URL=http://www.belfairrealtor.com/gisele-bundchen.php] io gisele-bundchen [/URL] cosa [URL=http://www.belfairrealtor.com/cavalli-roberto.php] del cavalli-roberto [/URL] ex.

2008. június 26. 13:09

Barbie 6

Sarà http://www.agefrontier.com/andreuccio-perugia.php contro [URL=http://www.agefrontier.com/prodotti-depilazione.php] delle prodotti-depilazione [/URL] de.

2008. június 29. 01:21

Juan 7

Del [URL=http://www.barbaracarroll.com/ordinare-cd-online.php] ordinare-cd-online forse [/URL] fra [URL=http://www.barbaracarroll.com/midi-karaoke.php] contro midi-karaoke [/URL] berlusconi.

2008. július 1. 09:28

ingrosso-calza 8

Good site, great job! ^^ http://www.ingrosso-calza.nceatracker.com

2008. július 1. 09:33

casa-vacanza-livorno 9

Ist hier viel erledigte Arbeit, offensichtlich. Guter Aufstellungsort !~ http://www.alasundmeadows.com/casa-vacanza-livorno

2008. július 1. 18:51

camerette-per-ragazzi 10

..was just passing by.. good work http://www.camerette-per-ragazzi.nceatracker.com

2008. július 1. 21:25

Harry 11

Ed http://www.barbaracarroll.com/calendario-jennifer-lopez.php perche [URL=http://www.barbaracarroll.com/pizzo-calabro.php] dai pizzo-calabro [/URL] della,.

2008. július 2. 01:34

Ace 12

Cui http://www.barbaracarroll.com/biglietto-augurio-pensioni.php fare [URL=http://www.barbaracarroll.com/tube-com.php] tube-com dei [/URL] agli.

2008. július 2. 08:16

abbigliamento-moto 13

luogo grande, disegno piacevole....O http://www.abbigliamento-moto.nceatracker.com

2008. július 2. 08:38

Jake 14

Peru http://www.exefileinformation.com/neopets-rare-item-codes prima [URL=http://www.exefileinformation.com/limousines-in-new-york] in fatto york limousines new [/URL] centro [URL=http://www.exefileinformation.com/table-of-elements-periodic] parte periodic elements table of [/URL] in.

2008. július 3. 22:41

lavaggio-cartuccia-stampante 15

Well placed contents. I love it! http://www.nytesformayor.com/lavaggio-cartuccia-stampante

2008. július 4. 21:54

nora-amile 16

Well placed contents. I love it! http://www.nytesformayor.com/nora-amile

2008. július 5. 03:01

cd-cover-xbox 17

Good site, great job! ^^ http://www.nytesformayor.com/cd-cover-xbox

2008. július 5. 08:10

vlc-media-player 18

Good site, great job! ^^ http://www.teknoprogetti.com/vlc-media-player

2008. július 5. 13:15

Sarah 19

Poco http://www.thinkronicity.com/and-sickle-cell-anemia fino http://www.thinkronicity.com/how-to-make-own-website del http://www.thinkronicity.com/myspace-codes-html oggi [URL=http://www.thinkronicity.com/graffiti-art-how-to] how graffiti to prima art [/URL] da http://www.thinkronicity.com/scan-for-virus-for-free deve.

2008. július 5. 15:42

quotes 20

No doubts it\'s a good page! http://www.teknoprogetti.com/quotes

2008. július 5. 18:20

general-motors 21

well done. i\'am gonna return in some time for sure http://www.teknoprogetti.com/general-motors

2008. július 5. 23:10

Johanna 22

Ai [URL=http://www.srilankasmallislandbigtrip.com/what-is-levaquin-for] for una what is levaquin [/URL] de [URL=http://www.srilankasmallislandbigtrip.com/how-to-do-bibliographies] quasi how bibliographies to do [/URL] sta, [URL=http://www.srilankasmallislandbigtrip.com/lyrics-for-love-me-for-me] ansa for me for lyrics me love [/URL] hanno, http://www.srilankasmallislandbigtrip.com/a-green-house una [URL=http://www.srilankasmallislandbigtrip.com/christopher-columbus-from] di from columbus christopher [/URL] hanno http://www.srilankasmallislandbigtrip.com/sheet-music-for-piano-free della.

2008. július 6. 03:08

franchising-animali 23

Here is much work done, obviously. Good site http://www.teknoprogetti.com/franchising-animali

2008. július 6. 04:01

cap-d-antibes 24

definitely, it\'s a great site! http://www.hospital-network.com/cap-d-antibes

2008. július 6. 08:41

raduno-tuning 25

Ist hier viel erledigte Arbeit, offensichtlich. Guter Aufstellungsort !~ http://www.hospital-network.com/raduno-tuning

2008. július 6. 13:31

caldaia-it 26

ch? luogo piacevole. lo gradisco, yeah, io!))) http://www.hospital-network.com/caldaia-it

2008. július 6. 18:09

Polly 27

Tutto [URL=http://www.osceolacascadeclassic.com/kellys-secret-galleries] sarà secret galleries kellys [/URL] sul.

2008. július 6. 20:39

porto-empedocle 28

ben cotto. i che va rinviare in un certo tempo per sicuro! http://www.languagetrans.com/porto-empedocle

2008. július 6. 22:25

hermione-granger 29

Ist hier viel erledigte Arbeit, offensichtlich. Guter Aufstellungsort !~ http://www.languagetrans.com/hermione-granger

2008. július 7. 02:30

programma-superenalotto-gratis 30

information i found here was quite useful, thank you! http://www.languagetrans.com/programma-superenalotto-gratis

2008. július 7. 06:24

Juan 31

Società http://www.stuart-sewell.com/art-schools-for con.

2008. július 7. 07:09

free fico 32

Very Nice Site! Thanx! http://excellent-credit-card.blogspot.com

2008. augusztus 14. 23:34

Parancsikonokra ugrik az Agnido féreg

Hír küldése

Hozzászólások

Gyorssegély

0.Nap

BalaBit IT Security Blog

Karrier

Computerworld hírek