SG.hu

W32/Bagle@MM: közepesen veszélyes a "számológépes" féregvírus

Az AVERT, a Network Associates vírusszakértői csoportja közleménye szerint a W32/Bagle@MM email-féreg "közepes" veszélyt jelent az otthoni és a vállalati felhasználók számára egyaránt.

A W32/Bagle@MM féregvírus e-mailen keresztül terjed, tömeges-levélküldő és külső hozzáférést engedő komponensekből áll. A fertőzött e-mail ismertetőjegyei:

Feladó: (általában hamis cím)
Tárgy: Hi
Szöveg: Test =)
(véletlenszerű karakterek)
--
Test, yep.
Csatolt állomány: (véletlenszerű fájlnév) 15872 bájt, számológép ikon
Például: frjujs.exe

A csatolt állomány lefutásakor a vírus ellenőrzi a rendszerdátumot, és 2004. január 28-ai vagy későbbi dátum esetén leáll. Amennyiben a fenti dátum előtt vagyunk, a vírus lefuttatja a standard Windows számológépet (CALC.EXE), mialatt a bemásolja magát a Windows rendszerkönyvtárba bbeagle.exe néven, és létrehozza az alábbi registry kulcsokat, hogy a következő indításkor betöltse magát:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "d3dupdate.exe" = C:\WINNT\System32\bbeagle.exe

Két, további kulcs:
HKEY_CURRENT_USER\Software\Windows98 "frun"
HKEY_CURRENT_USER\Software\Windows98 "uid"
Ezután összegyűjti az e-mailcímeket a .wab, .txt, .htm és .html fájlokból, majd saját SMTP motorjával továbbküldi magát ezekre.

A külső hozzáférést engedő komponens a 6777-es TCP porton figyel, és PHP scriptek lehívásával próbálja értesíteni a szerzőt a rendszer fertőzöttségéről. Jelenleg az egyik oldalon sincs fent a kérdéses PHP script.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • [HUN]PAStheLoD #1
    huuhaaa... már énismegkaptam .. a figyelmeztető emailt ;] ami legalább akkora spam :P