LFG.HU

BePe
hírekCimkek

Általában nem szoktunk ilyesmiről hírt adni, de mivel több levelet is kaptunk azzal kapcsolatban, hogy az RPG.HU-ról virusos levelek mennek ki, egyszerűbbnek tűnik egy hír formájában közzétenni az észrevételekre a reagálást.
(Hiszen maga a szerver nem is fertőződhetett meg ezzel a vírussal…)



Forrás: VirusBuster.hu

Új e-mailben terjedő vírus indult rohamos terjedésnek.

A Mydoom.A e-mail üzenetek mellékleteként küldi magát a fertőzött számítógépről gyűjtött e-mail címekre. A levelek melléklete a 22528 bájtos vírus, véletlen fájlnévvel, .exe, .pif, .cmd vagy .scr kiterjesztéssel. Gyakran ZIP archívumként csatolja magát.
A vírus a fertőzött számítógépre egy backdoor komponenst is feltelepít.

A vírus átalában fertőzött levelek mellékleteként érkezik, a levelek melléklete a vírus,
22528 bájt hosszú, tömörítővel csomagolt program. Ezen kívül a Kazaa fájlcserélő rendszeren keresztül is képes terjedni.

A fertőzött melléklet lefuttatásakor a vírus először egy véletlenszerűen összeállított, zagyva szöveget jelenít meg a Notepad szövegszerkesztővel.

Ezután több példányban felmásoljam agát a számítógépre A Windows rendszerkönyvtárba TASKMON.EXE néven. Emellett egy backdoor komponens DLL könyvtárat is feltelepít ugyanoda SHIMGAPI.DLL néven, amely a 3127 és 3198 közötti TCP portokon keresztül fogadja a külső parancsokat.

A továbbterjedéshez szükséges e-mail címeket a számítógépen talált .htm, .sht , .php, .asp, .dbx, .tbb, .adb, .pl, .wab és .txt, kiterjesztésű állományokból gyűjti össze. A leveleket a definiált SMTP kiszolgálóval közvetlenül kommunikálva küldi ki. Ha sikerül megkísérli a címzett SMTP szerverét használni, ha nem, akkor a fertőzött gépen érvényes szervert használja.

A kimenő levelek címsora az alábbiak valamelyike:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

A levelek szövege az alábbiak valamelyike:

Mail transaction failed. Partial message is available.

The message contains Unicode characters and has been sent as a binary attachment.

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

A vírus meghamisítja a levél feladóját.

A levélmelléklet pedig a vírust tartalmazza, változó névvel, .bat, .exe, .pif, .cmd vagy .scr kiterjesztéssel. Esetenként ZIP archívumba csomagolva küldi ki magát.
A fájlév az alábbiak valamelyike lehet:

document
readme
doc
text
file
data
test
message
body

A Kazaa fájlcserélő megosztott könyvtárába is bemásolja magát az alábbi fájlnevek valamelyikét használva:

winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004

A bemásolt fájlok kiterjesztése .PIF, .BAT, .SCR vagy .EXE.

2004 február 1. és 2004. február 12 között túlterheléses támadást végez a www.sco.com weboldal ellen.

A vírus eltávolításához a létrehozott állományokat kell törölni, valamint a regisztrációs adatbázisban létrehozott bejegyzéseket kell eltávolítani.


Kapcsolódó adatok Linkek/fórum

[http://securityresponse.symantec.com/avcenter/venc/data/w32.novarg.a@mm.removal.tool.html]
[http://securityresponse.symantec.com/avcenter/FxNovarg.exe]
A szerző más irásai

[ további írásai]
Hozzászólások

A hozzászóláshoz be kell jelentkezned.
 

» Ugrás a fórumtémához