Föoldal

Partnereink:


Internet Explorert támad a Vispat féreg

A Vispat.B féreg elsősorban elektronikus leveleken keresztül terjed, és a számítógépek
egyes védelmi funkcióinak kiiktatására törekszik.

A Vispat.B elektronikus levelek útján meglehetősen gyorsan képes terjedni.
A kártevő olyan levelekben terjed,
amelyek egy .zi kiterjesztésû csatolt fájlt tartalmaznak. A féreg a regisztrációs adatbázisban
rengeteg módosítást végez, amelyek révén megváltoztatja az Internet Explorer
egyes biztonsági beállításait, valamint a böngésző kezdőoldalát.

A féreg az asztalon és a Start menüben egy-egy parancsikont hoz létre, amelyekre kattintva
az Internet Explorer nyílik meg, majd egy kártékony weboldal töltődik le.

Amikor Vispat.B féreg elindul, akkor az alábbi mûveleteket hajtja végre:

1. Létrehozza a következő fájlt:
%System%\\scansvc\\trust\\fotoamodomenica.exe

2. A regisztrációs adatbázisba létrehozza a következő bejegyzéseket:
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
\\"fotoamodomenica.exe" = "%System%\\scansvc\\trust\\fotoamodomenica.exe"

3. A regisztrációs adatbázisban létrehozza az alábbi bejegyzéseket:
HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main\\
"Start Page" = "[http://]www.katasearch.com[…]"

4. A regisztrációs adatbázisban létrehozza a következő bejegyzéseket:
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet
Settings\\ZoneMap\\Domains\\foto-personali.name
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet
Settings\\ZoneMap\\Domains\\foto-personali.name\\www\\"*" = "2"
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet
Settings\\ZoneMap\\Domains\\katasearch.com
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet
Settings\\ZoneMap\\Domains\\katasearch.com\\www\\"*" = "2"
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet
Settings\\ZoneMap\\Domains\\tuttoavolonta.com
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet
Settings\\ZoneMap\\Domains\\tuttoavolonta.com\\www\\"*" = "2"

5. A regisztrációs adatbázisban módosítja az
alábbi bejegyzéseket:
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings
\\Zones\\2\\"MinLevel" = "0"
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings
\\Zones\\2\\"RecommendedLevel" = "0"
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings
\\Zones\\2\\"1001" = "0"
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings
\\Zones\\2\\"1004" = "0"
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings
\\Zones\\2\\"1200" = "0"
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings
\\Zones\\2\\"1201" = "0"
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings
\\Zones\\2\\"1400" = "0"
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings
\\Zones\\2\\"1402" = "0"
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings
\\Zones\\2\\"1405" = "0"
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings
\\Zones\\2\\"1406" = "0"
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings
\\Zones\\2\\"1407" = "0"
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings
\\Zones\\2\\"1609" = "0"
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings
\\Zones\\2\\"1800" = "0"
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\
CurrentVersion\\Internet Settings
\\Zones\\2\\"1803" = "0"

6. Létrehoz egy "Immagini" nevû könyvtárat.
Amennyiben a felhasználó megnyitja ezt a mappát, akkor elindul az Internet Explorer,
és megnyílik egy kártékony weboldal.

7. A regisztrációs adatbázisban létrehozza a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
CurrentVersion\\Explorer\\
MyComputer\\NameSpace\\{16C7013F-912E-42ac-AA8E-A10A180DFF51}
HKEY_CLASSES_ROOT\\CLSID\\{16C7013F-912E-42ac-AA8E-A10A180DFF51}\\
"Default" = "Immagini"
HKEY_CLASSES_ROOT\\CLSID\\{16C7013F-912E-42ac-AA8E-A10A180DFF51}\\
DefaultIcon\\"Default" = "%SystemRoot%\\System32\\
shell32.dll,127"
HKEY_CLASSES_ROOT\\CLSID\\{16C7013F-912E-42ac-AA8E-A10A180DFF51}\\InProcServer32
HKEY_CLASSES_ROOT\\CLSID\\{16C7013F-912E-42ac-AA8E-A10A180DFF51}\\Shell
HKEY_CLASSES_ROOT\\CLSID\\{16C7013F-912E-42ac-AA8E-A10A180DFF51}\\Shell\\Open My Menu
HKEY_CLASSES_ROOT\\CLSID\\{16C7013F-912E-42ac-AA8E-A10A180DFF51}\\
Shell\\Open My Menu\\"Command" = "%
ProgramFiles%\\Internet Explorer\\iexplore.exe
[http://]foto-personali.name[REMOVED]"
HKEY_CLASSES_ROOT\\CLSID\\{16C7013F-912E-42ac-AA8E-A10A180DFF51}\\ShellEx
HKEY_CLASSES_ROOT\\CLSID\\{16C7013F-912E-42ac-AA8E-A10A180DFF51}\\ShellEx\\PropertySheetHandlers
HKEY_CLASSES_ROOT\\CLSID\\{16C7013F-912E-42ac-AA8E-A10A180DFF51}\\
ShellEx\\PropertySheetHandlers\\{16C7013F-912E-42ac-AA8E-A10A180DFF51}
HKEY_CLASSES_ROOT\\CLSID\\{16C7013F-912E-42ac-AA8E-A10A180DFF51}\\ShellFolder

8. Létrehozza a következő bejegyzéseket:
%UserProfile%\\Desktop\\Foto Personali.lnk
%UserProfile%\\Start Menu\\Foto Personali.lnk

9. Összegyûjti az Outlook Express címjegyzékéből az email címeket, amelyekre továbbküldi saját magát:

A fertőzött emailek tárgya lehet:
Re:Ho sbagliato email

A fertözött levelek mellékletéhez tartozó fájl neve:
fotoamore.zi

 

A hír megjelenését a biztonságportál támogatta.

 

 
Kapcsolodó cikkek, tesztek:
Hírek

RSS HIREK | Média ajánlat | Site térkép | Rólunk | Elérhetöség | Copyright | ©2006 Tesztpad.hu