Ünnepi vírusok
Geza Papp, 2003. december 28. 15:10
Remélem, mindenkinek sikerült elkerülnie, hogy olyan karácsonyi
üdvözlőlapot kapjon, mely "csomaggal" együtt érkezik. Mivel
postaládánkat hamarosan elárasztják az újévi jókívánságok, néhány új
vírusra szeretném felhívni a figyelmet.
Új e-mailben terjedő vírus bukkant fel, amit a számítógépes férgek közé sorolhatunk.
I-Worm.Sober.C
Alias I-Worm.Sober.c, W95/Sober.C@mm, W32/Sober.c@MM, Win32/Sober.C, WORM_SOBER.C
A Sober.C megosztott hálózatokon, peer-to-peer hálózatokon és e-mail üzenetek mellékleteként küldi magát a fertőzött számítógépről gyűjtött e-mail címekre. Német és angol szövegű leveleket küldözgetve elsősorban német nyelvű országokban számít elterjedtnek. A levelek melléklete a 74 kB körüli vírus. A fertőzött levelek jellemzője mind a tárgysor, mind a szöveg és a csatolt fájl véletlenszerű elnevezése.
Tárgysor példa:
Levélszövegek pl. az alábbiak lehetnek:
"Sehr geehrter Kunde,
Vielen Dank für Ihre Anmeldung auf unserem Server.
Der Betrag von Euro 279,- wurde erfolgreich von Ihrem Konto abgebucht.
Ihnen stehen nun 1 Jahr lang mehr als 2300 sehr sehr heiße
Internet Seiten zur Verfügung.
Wir bedauern, das es im Vorfeld so lange gedauert hat,
unser Mail Dienst hatte diese Daten auf einen anderen E-Mail Empfänger
geschickt.
Da nun dieser Fehler behoben zu sein scheint, wünschen wir Ihnen
viel Spass mit unserem Angebot!
Die Seiten die Sie nun aufrufen können und die Zugangsdaten
befinden sich gesichert im Anhang."
"hi, I am from Austria and you'll don't believe me,
but a trojan horse in on your pc.
I've scanned the network-ports on the internet.
And I have found your pc.
Your pc is open on the internet for everybody!
Because the >filename<.exe trojan is running on your system.
Check this, open the task manager and try to stop that!
You'll see, you can't stop this trojan.
When you use win98/me you can't see the trojan!!
On my system was this trojan, too!
And I've found a tool to kill that bad thing.
I hope that I've helped you!"
A csatolt állomány kiterjesztése is véletlenszerűen változhat, nevéhez hasonlóan: EXE, SCR, PIF, COM, CMD or BAT.
Példák:
A fertőzés utáni első futáskor a féreg bemásolja magát a Windows system mappába syshostx.exe néven, és még két véletlenszerűen választott néven.
W32/Sober-C a regisztrációs adatbázisban az alábbi változást idézi elő:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
a féreg két említett véletlenszerű, ismeretlen nevű verziója ekkor már mint "system logon" futhat.
Az alábbi nevű állományok ismertek eddig ezek közül - a Windows system mappában:
Ezek nem malicious állományok, törölhetők.
W32/Sober-C bemásolja önmagát a KaZaA könyvtár My Shared Folder alkönyvtárába futtatható állományok formájában COM, EXE, SCR, BAT, CMD , PIF.
Új hálózati féreg elsősorban a megosztott (fájlmegosztó) hálózatokon fertőz, a
W32/Bodiru-A
Alias: W32.HLLW.Bodiru, PE_Bodiru.A
A W32/Bodiru-A féreg a "peer-to-peer" hálózatokaon terjed elsősorban. Futásakor képes megfertőzni elsősorban a közkedvelt megosztott hálózatokat, melyeken igen nagy számú másolatait szórja szét - ezek a "peer-to-peer" fájlmegosztó, ill. megosztott hálózatok: KaZaA, Kazaa Lite K++, Edonkey2000 és az Emule - melyek tagjainál a féregmásolatok egy Incoming mappába kerülnek.
A W32/Bodiru-A az alábbi neveket használja:
A féreg a c:\dllsystemhelp.bat.fájl segítségével megoszthatja a lokális meghajtót, melyet megfertőzött.
A W32/Bodiru-A a regisztrációs adatbázisban az alábbi változásokat jegyzi, hogy azonnal futhasson a féregkód a Windows startup menüjének folyamataival egy időben:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\App.EXEName
W32/Bodiru-A az alábbi fájlok biztosan fertőzöttek:
C:\Program Files\WinZip\WINZIP32.EXE
C:\Program Files\Norton AntiVirus\Navw32.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Windows\Wscript.exe
C:\Windows\Rundll.exe
C:\Windows\Rundll32.exe
C:\winnt\Regedit.exe
C:\Windows\System\Underwater.scr
C:\windows\Regedit.exe
C:\winnt\system32/Regedit.exe
A fertőzési rutin: nem szabályosan fertőz bizonyos fájlokat, hanem "csak"elrontja, károsítja azokat.
A W32/Bodiru-A DoS denial-of-service támadást kezd a symantec.com ellen, ICMP ping flood formában küldi nagyszámú "csomagjait" céljának.
A féreg hatástalanítani képes a következő antivírusfájlokat:
Troj/Tofger-L
Alias:TrojanDropper.Win32.Small.dd, Backdoor.Tofger
Fajta: Trojan
Jellemzői:
Troj/Tofger-L egyy keylogger (billentyűzetfigyelő) trójai.
Azért, hogy a többi folyamattal együtt indujon el a féregprogram, a Troj/Tofger-L bemásolja magát a Windows mappába SURTE.EXE néven. A regisztrációs adatbázist az alábbiakban módosítja:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Online Service
Ezen túl a Troján a MSTO32.DLL utiliti fájlban van (ezt ismerik fel a víruskeresők, mint Troj/Tofger-C) és így szövegfájlt, SYSINI.INI néven létrehoz a Windows könyvtárban.
Amikor Troj/Tofger-L aktív hálózati kapcsolatot észlel keylogger tulajdonságának részét (keystrokes) kihasználva az Internet Explorerbe gépelt információkat továbbküldi "gazdájának" a megadott címre.
W32/Opaserv-S
Fajta: Win32 worm
Jellemzők:
W32/Opaserv-S hálózati féreg, amelyik elsősorban a nem frissített osztott Win95/98 rendszerek programhibáit kihasználva fertőz.
Biztosítva futását a Windows könyvtárba másolja magát natal!.pif néven, és a regisztrációs adatbázist módosítja:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\4wd!!!
A féreg .log fájlokat hoz létre natlog, natlog2, illetve a natsout.gay és anatsin.gay fájlt a Windows mappában.
W32/Opaserv-S egy weblaphoz próbál csatlakozni és frissíteni magát - és futtatni is. Amíg ez nem sikerül, "vár".
A féreg ha megfertőzte a cél gépet, innen monitorozza a helyi subnet gépeit, és fertőzi meg azokat, melyeken programhibát talál. A fertőzéskor az alábbi fájlt hozza létre: C:\Windows\natal!.pif és a rendszerindításkori futását a távoli gépen a win.ini fájl módosításával "oldja meg".
Végül egy szövegfájlt hoz létre: C:\lammer!.
I-Worm.Sober.C
Alias I-Worm.Sober.c, W95/Sober.C@mm, W32/Sober.c@MM, Win32/Sober.C, WORM_SOBER.C
A Sober.C megosztott hálózatokon, peer-to-peer hálózatokon és e-mail üzenetek mellékleteként küldi magát a fertőzött számítógépről gyűjtött e-mail címekre. Német és angol szövegű leveleket küldözgetve elsősorban német nyelvű országokban számít elterjedtnek. A levelek melléklete a 74 kB körüli vírus. A fertőzött levelek jellemzője mind a tárgysor, mind a szöveg és a csatolt fájl véletlenszerű elnevezése.
Tárgysor példa:
ups, i've got your mail
Sorry, thats your mail
hi, its me
Thank You very very much
you are an idiot
why me?
I hate you
Preliminary investigation were started
Your IP was logged
You use illegal File Sharing ...
A Trojan horse is on your PC
a trojan is on your computer!
Anime, Pokemon, Manga, ...
Caution: To all gamers
Attention: To all gamers
Anmeldebestätigung
Bankverbindungs- Daten
Sie sind ein Raubkopierer
Sorry, thats your mail
hi, its me
Thank You very very much
you are an idiot
why me?
I hate you
Preliminary investigation were started
Your IP was logged
You use illegal File Sharing ...
A Trojan horse is on your PC
a trojan is on your computer!
Anime, Pokemon, Manga, ...
Caution: To all gamers
Attention: To all gamers
Anmeldebestätigung
Bankverbindungs- Daten
Sie sind ein Raubkopierer
Levélszövegek pl. az alábbiak lehetnek:
"Sehr geehrter Kunde,
Vielen Dank für Ihre Anmeldung auf unserem Server.
Der Betrag von Euro 279,- wurde erfolgreich von Ihrem Konto abgebucht.
Ihnen stehen nun 1 Jahr lang mehr als 2300 sehr sehr heiße
Internet Seiten zur Verfügung.
Wir bedauern, das es im Vorfeld so lange gedauert hat,
unser Mail Dienst hatte diese Daten auf einen anderen E-Mail Empfänger
geschickt.
Da nun dieser Fehler behoben zu sein scheint, wünschen wir Ihnen
viel Spass mit unserem Angebot!
Die Seiten die Sie nun aufrufen können und die Zugangsdaten
befinden sich gesichert im Anhang."
"hi, I am from Austria and you'll don't believe me,
but a trojan horse in on your pc.
I've scanned the network-ports on the internet.
And I have found your pc.
Your pc is open on the internet for everybody!
Because the >filename<.exe trojan is running on your system.
Check this, open the task manager and try to stop that!
You'll see, you can't stop this trojan.
When you use win98/me you can't see the trojan!!
On my system was this trojan, too!
And I've found a tool to kill that bad thing.
I hope that I've helped you!"
A csatolt állomány kiterjesztése is véletlenszerűen változhat, nevéhez hasonlóan: EXE, SCR, PIF, COM, CMD or BAT.
Példák:
- www.iq4you-german-test.com
- www.freewantiv.com
- www.free4manga.com
- www.free4share4you.com
- www.tagespolitik-umfragen.com
- www.onlinegamerspro-worm.com
- www.freegames4you-gzone.com
- www.boards4all-terror432.com
- www.anime4allfree.com
- www.animepage43252.com
A fertőzés utáni első futáskor a féreg bemásolja magát a Windows system mappába syshostx.exe néven, és még két véletlenszerűen választott néven.
W32/Sober-C a regisztrációs adatbázisban az alábbi változást idézi elő:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
a féreg két említett véletlenszerű, ismeretlen nevű verziója ekkor már mint "system logon" futhat.
Az alábbi nevű állományok ismertek eddig ezek közül - a Windows system mappában:
ms16taskwin.exe
savesyss.dll
Humgly.lkur
yfjq.yqwm
savesyss.dll
Humgly.lkur
yfjq.yqwm
Ezek nem malicious állományok, törölhetők.
W32/Sober-C bemásolja önmagát a KaZaA könyvtár My Shared Folder alkönyvtárába futtatható állományok formájában COM, EXE, SCR, BAT, CMD , PIF.
Új hálózati féreg elsősorban a megosztott (fájlmegosztó) hálózatokon fertőz, a
W32/Bodiru-A
Alias: W32.HLLW.Bodiru, PE_Bodiru.A
A W32/Bodiru-A féreg a "peer-to-peer" hálózatokaon terjed elsősorban. Futásakor képes megfertőzni elsősorban a közkedvelt megosztott hálózatokat, melyeken igen nagy számú másolatait szórja szét - ezek a "peer-to-peer" fájlmegosztó, ill. megosztott hálózatok: KaZaA, Kazaa Lite K++, Edonkey2000 és az Emule - melyek tagjainál a féregmásolatok egy Incoming mappába kerülnek.
A W32/Bodiru-A az alábbi neveket használja:
ACDSee 5.5.exe
AOL Instant Messenger Crasher.exe
AVP Antivirus Pro Key Crack.exe
Adobe_Keyge.exe
Age of Empires 2 crack.exe
Aim bot ut3.exe
All Microsoft Products CD Key Generator.exe
All Norton Antivirus KEys!.exe
Ana Kournikova Sex Video (downloader).exe
Animated Screen 7.exe
Any Nick Name Msn 6.0.exe
Aol_cracker.exe
AquaNox2 Crack.exe
Audiograbber 2.05.exe
BabeFest 2003 ScreenSaver 1.6.exe
Battlefield1942_bloodpatch.exe
Battlefield1942_keygen.exe
Britney Spears Sex Video.exe
Buffy Vampire Slayer Movie.exe
BurnDvds.exe
Business Card Designer Plus 7.9.exe
Clone CD 5.0.0.3 (crack).exe
Clone CD 5.0.0.3.exe
Cool Edit Pro v2.55.exe
Counter Strike - See Through Walls.exe
Crack Passwords Mail.exe
Credit Card Numbers generator(incl Visa,MasterCard).exe
Credit_Card_Numbers_generator.exe
DVD Copy Plus v5.0.exe
DVD Region-Free 2.3.exe
Darkness_Krew.exe
DeadAim 4.0 KeyGen.exe
Diablo 3 Crack.exe
Diablo_2_Crack.exe
DirectDVD 5.0.exe
DirectX Buster (all versions).exe
DivX Video Bundle 6.5.exe
Divx_Pro_5.1_Serial.exe
Divx_pro (FINAL!).exe
Doom III (Cd KEys).exe
Download Accelerator Plus 6.1.exe
Dvd_Plus_Crack.exe
Dvd_Ripper(The Best 04).exe
Dvd_To_Vcd.exe
Easy_Dvd_Ripper.exe
Easy_Dvd_creator_Crack.exe
Edonkey2000-Speed me up scotty.exe
FIFA2003 crack.exe
Fifa 2004 (Cd Crack).exe
Final Fantasy VII XP Patch 1.5.exe
Flash MX crack (trial).exe
FlashGet 1.5.exe
FreeRAM XP Pro 1.9.exe
GTA 3 Crack.exe
GTA 3 Serial.exe
Game Cube Real Emulator.exe
GetRight 5.0a.exe
Gothic2 licence.exe
Guitar Chords Library 5.5.exe
Hack Any Kazaa User.exe
Hack The School.exe
Hack Website Easy.exe
Hacker_The_LoveStory.exe
Half Life 2 (Cd Crack).exe
Half Life 2 (cd Keys).exe
Harry potter2 Crack.exe
Hitman_2_no_cd_crack.exe
Hotmail Hacker Gold (All Msn Versions!).exe
Hotmail_Hacker_2003-Xss_Exploit.exe
Ip Nuker V6 (Reall Works).exe
KaZaA Hack 2.5.0.exe
KaZaA Speedup 3.6.exe
KaZaA-Hack_2.5.0.exe
Kazaa Lite )FINALL!(.exe
Kazaa SDK + Xbit speedUp for 2.xx.exe
LYNDEN.exe
Links 2003 Golf game (crack).exe
Living Waterfalls 1.3.exe
Love.exe
MSN Password Hacker 5.7 (worked on my ex-girlfriend!).exe
MWorld Of Warcraft (FULL) Installer and Downloader.exe
Macromedia product keys.exe
Macromedia_Keygen.exe
Mafia_crack.exe
Mail Bomber For msn messsenger 6.0.exe
Matrix Screensaver 1.5.exe
Mcafee Antivirus Scan Crack.exe
MediaPlayer Update.exe
Messenger Plus Latest!.exe
Microsoft .NET hack.exe
Microsoft KeyGenerator-Allmost all microsoft stuff.exe
Msn 6.0 (Multi Messenger).exe
Msn 6.0 Crasher!.exe
Msn 6.0 Kicker.exe
Msn 6.0 Password Cracker.exe
Msn Emotions (Version 6.0).exe
Msn Emotions (Version 6.1).exe
Msn Ip Finder 2004.exe
Msn Messenger 6.0 Bomber!.exe
Msn Messenger Betta 6.2.exe
Music Download 2003 (Full Albums).exe
NBA2003_crack.exe
Need 4 Speed crack.exe
Nero_Burning_Rom_Crack.exe
Netbios Nuker 2003.exe
Netbios Nuker 2004.exe
Netfast 1.8.exe
Network Cable e ADSL Speed 2.0.5.exe
Nimo CodecPack (new) 8.0.exe
Nimo_Codec_PackUpdater.exe
Norton Anvirus Key Crack.exe
PS2 PlayStation Simulator.exe
PalTalk 5.01b.exe
Panda Antivirus Titanium Crack.exe
Pop-Up Stopper 3.5.exe
Popup Defender 6.5.exe
Ps2 Real Emulator.exe
Quake 3 Keygen (works Great).exe
Quake3 - See through wallz.exe
Quick Time Key Crack.exe
QuickTime_Pro_Crack.exe
Real Sex Toys!.exe
Screen saver christina aguilera naked.exe
Security-2003-Update.exe
Serials 2003 v.8.0 Full.exe
Serials 2004 v.8.0 Full.exe
SmartFTP 2.0.0.exe
SmartRipper v2.7.exe
Space Invaders 1978.exe
Splinter_Cell_Crack.exe
Starcraft serials.exe
Stripping MP3 dancer+crack.exe
Sub 7 2.9.exe
Trillian 0.85 (free).exe
TweakAll 3.8.exe
UT2003_bloodpatch.exe
UT2003_keygen.exe
UT2003_no cd (crack).exe
UT2003_patch.exe
Unreal Tournament 2003 (Cd Crack).exe
Unreal Tournament 2003 (Cd KEys).exe
Unreal2_bloodpatch.exe
Unreal2_crack.exe
VB6.exe
Visual Basic (ALL KEYS GEN).exe
Visual Basic 6.0 Msdn Plugin.exe
Visual Basic Decompiler.exe
WarCraft_3_crack.exe
WinOnCD 4 PE_crack.exe
WinRar 3.xx Password Cracker.exe
WinZip 9.0b (CRACK).exe
WinZip 9.0b.exe
WinZipped Visual C++ Tutorial.exe
WindowBlinds_4.0.exe
Windows XP complete + serial.exe
Windows Xp Exploit.exe
Winzip KeyGenerator Crack.exe
XNuker 2003 2.93b.exe
XNuker_2003_2.93b.exe
Xvid_Codec_Installer.exe
Yahoo Account Stealer.exe
Yahoo Messenger 6.0.exe
Zelda Classic 2.00.exe
aol password cracker.exe
cable modem ultility pack.exe
cable modem.exe
counter-strike.exe
mIRC 6.40.exe
pamela_anderson.exe
play station emulator.exe
serials2000.exe
warcraft 3 crack (Really Works).exe
warcraft 3 serials.exe
winamp plugin pack.exe
winzip full version key generator.exe
AOL Instant Messenger Crasher.exe
AVP Antivirus Pro Key Crack.exe
Adobe_Keyge.exe
Age of Empires 2 crack.exe
Aim bot ut3.exe
All Microsoft Products CD Key Generator.exe
All Norton Antivirus KEys!.exe
Ana Kournikova Sex Video (downloader).exe
Animated Screen 7.exe
Any Nick Name Msn 6.0.exe
Aol_cracker.exe
AquaNox2 Crack.exe
Audiograbber 2.05.exe
BabeFest 2003 ScreenSaver 1.6.exe
Battlefield1942_bloodpatch.exe
Battlefield1942_keygen.exe
Britney Spears Sex Video.exe
Buffy Vampire Slayer Movie.exe
BurnDvds.exe
Business Card Designer Plus 7.9.exe
Clone CD 5.0.0.3 (crack).exe
Clone CD 5.0.0.3.exe
Cool Edit Pro v2.55.exe
Counter Strike - See Through Walls.exe
Crack Passwords Mail.exe
Credit Card Numbers generator(incl Visa,MasterCard).exe
Credit_Card_Numbers_generator.exe
DVD Copy Plus v5.0.exe
DVD Region-Free 2.3.exe
Darkness_Krew.exe
DeadAim 4.0 KeyGen.exe
Diablo 3 Crack.exe
Diablo_2_Crack.exe
DirectDVD 5.0.exe
DirectX Buster (all versions).exe
DivX Video Bundle 6.5.exe
Divx_Pro_5.1_Serial.exe
Divx_pro (FINAL!).exe
Doom III (Cd KEys).exe
Download Accelerator Plus 6.1.exe
Dvd_Plus_Crack.exe
Dvd_Ripper(The Best 04).exe
Dvd_To_Vcd.exe
Easy_Dvd_Ripper.exe
Easy_Dvd_creator_Crack.exe
Edonkey2000-Speed me up scotty.exe
FIFA2003 crack.exe
Fifa 2004 (Cd Crack).exe
Final Fantasy VII XP Patch 1.5.exe
Flash MX crack (trial).exe
FlashGet 1.5.exe
FreeRAM XP Pro 1.9.exe
GTA 3 Crack.exe
GTA 3 Serial.exe
Game Cube Real Emulator.exe
GetRight 5.0a.exe
Gothic2 licence.exe
Guitar Chords Library 5.5.exe
Hack Any Kazaa User.exe
Hack The School.exe
Hack Website Easy.exe
Hacker_The_LoveStory.exe
Half Life 2 (Cd Crack).exe
Half Life 2 (cd Keys).exe
Harry potter2 Crack.exe
Hitman_2_no_cd_crack.exe
Hotmail Hacker Gold (All Msn Versions!).exe
Hotmail_Hacker_2003-Xss_Exploit.exe
Ip Nuker V6 (Reall Works).exe
KaZaA Hack 2.5.0.exe
KaZaA Speedup 3.6.exe
KaZaA-Hack_2.5.0.exe
Kazaa Lite )FINALL!(.exe
Kazaa SDK + Xbit speedUp for 2.xx.exe
LYNDEN.exe
Links 2003 Golf game (crack).exe
Living Waterfalls 1.3.exe
Love.exe
MSN Password Hacker 5.7 (worked on my ex-girlfriend!).exe
MWorld Of Warcraft (FULL) Installer and Downloader.exe
Macromedia product keys.exe
Macromedia_Keygen.exe
Mafia_crack.exe
Mail Bomber For msn messsenger 6.0.exe
Matrix Screensaver 1.5.exe
Mcafee Antivirus Scan Crack.exe
MediaPlayer Update.exe
Messenger Plus Latest!.exe
Microsoft .NET hack.exe
Microsoft KeyGenerator-Allmost all microsoft stuff.exe
Msn 6.0 (Multi Messenger).exe
Msn 6.0 Crasher!.exe
Msn 6.0 Kicker.exe
Msn 6.0 Password Cracker.exe
Msn Emotions (Version 6.0).exe
Msn Emotions (Version 6.1).exe
Msn Ip Finder 2004.exe
Msn Messenger 6.0 Bomber!.exe
Msn Messenger Betta 6.2.exe
Music Download 2003 (Full Albums).exe
NBA2003_crack.exe
Need 4 Speed crack.exe
Nero_Burning_Rom_Crack.exe
Netbios Nuker 2003.exe
Netbios Nuker 2004.exe
Netfast 1.8.exe
Network Cable e ADSL Speed 2.0.5.exe
Nimo CodecPack (new) 8.0.exe
Nimo_Codec_PackUpdater.exe
Norton Anvirus Key Crack.exe
PS2 PlayStation Simulator.exe
PalTalk 5.01b.exe
Panda Antivirus Titanium Crack.exe
Pop-Up Stopper 3.5.exe
Popup Defender 6.5.exe
Ps2 Real Emulator.exe
Quake 3 Keygen (works Great).exe
Quake3 - See through wallz.exe
Quick Time Key Crack.exe
QuickTime_Pro_Crack.exe
Real Sex Toys!.exe
Screen saver christina aguilera naked.exe
Security-2003-Update.exe
Serials 2003 v.8.0 Full.exe
Serials 2004 v.8.0 Full.exe
SmartFTP 2.0.0.exe
SmartRipper v2.7.exe
Space Invaders 1978.exe
Splinter_Cell_Crack.exe
Starcraft serials.exe
Stripping MP3 dancer+crack.exe
Sub 7 2.9.exe
Trillian 0.85 (free).exe
TweakAll 3.8.exe
UT2003_bloodpatch.exe
UT2003_keygen.exe
UT2003_no cd (crack).exe
UT2003_patch.exe
Unreal Tournament 2003 (Cd Crack).exe
Unreal Tournament 2003 (Cd KEys).exe
Unreal2_bloodpatch.exe
Unreal2_crack.exe
VB6.exe
Visual Basic (ALL KEYS GEN).exe
Visual Basic 6.0 Msdn Plugin.exe
Visual Basic Decompiler.exe
WarCraft_3_crack.exe
WinOnCD 4 PE_crack.exe
WinRar 3.xx Password Cracker.exe
WinZip 9.0b (CRACK).exe
WinZip 9.0b.exe
WinZipped Visual C++ Tutorial.exe
WindowBlinds_4.0.exe
Windows XP complete + serial.exe
Windows Xp Exploit.exe
Winzip KeyGenerator Crack.exe
XNuker 2003 2.93b.exe
XNuker_2003_2.93b.exe
Xvid_Codec_Installer.exe
Yahoo Account Stealer.exe
Yahoo Messenger 6.0.exe
Zelda Classic 2.00.exe
aol password cracker.exe
cable modem ultility pack.exe
cable modem.exe
counter-strike.exe
mIRC 6.40.exe
pamela_anderson.exe
play station emulator.exe
serials2000.exe
warcraft 3 crack (Really Works).exe
warcraft 3 serials.exe
winamp plugin pack.exe
winzip full version key generator.exe
A féreg a c:\dllsystemhelp.bat.fájl
A W32/Bodiru-A a regisztrációs adatbázisban az alábbi változásokat jegyzi, hogy azonnal futhasson a féregkód a Windows startup menüjének folyamataival egy időben:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\App.EXEName
W32/Bodiru-A az alábbi fájlok biztosan fertőzöttek:
C:\Program Files\WinZip\WINZIP32.EXE
C:\Program Files\Norton AntiVirus\Navw32.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Windows\Wscript.exe
C:\Windows\Rundll.exe
C:\Windows\Rundll32.exe
C:\winnt\Regedit.exe
C:\Windows\System\Underwater.scr
C:\windows\Regedit.exe
C:\winnt\system32/Regedit.exe
A fertőzési rutin: nem szabályosan fertőz bizonyos fájlokat, hanem "csak"elrontja, károsítja azokat.
A W32/Bodiru-A DoS denial-of-service támadást kezd a symantec.com ellen, ICMP ping flood formában küldi nagyszámú "csomagjait" céljának.
A féreg hatástalanítani képes a következő antivírusfájlokat:
_AVP.EXE
_AVP32.EXE
_AVPM.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
AUTODOWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVNT.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPMON.EXE
AVPNT.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE
BLACKD.EXE
BLACKICE.EXE
CCAPP.EXE
CFIADMIN.EXE
ESAFE.EXE
CFIAUDIT.EXE
CFIND.EXE
CFINET.EXE
CFINET32.EXE
CLAW95.EXE
CLAW95CF.EXE
CLAW95CT.EXE
CLEANER.EXE
CLEANER3.EXE
DV95.EXE
DV95_O.EXE
DVP95.EXE
DVP95_0.EXE
TerminateEXE
ECENGINE.EXE
EFINET32.EXE
ESPWATCH.EXE
F-AGNT95.EXE
FINDVIRU.EXE
FPROT.EXE
F-PROT.EXE
FPROT95.EXE
F-PROT95.EXE
FP-WIN.EXE
FRW.EXE
F-STOPW.EXE
IAMAPP.EXE
IAMSERV.EXE
IBMASN.EXE
IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICMOON.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
IOMON98.EXE
JED.EXE
JEDI.EXE
KPF.EXE
KPFW32.EXE
LOCKDOWN2000.EXE
LOOKOUT.EXE
LUALL.EXE
MOOLIVE.EXE
MPFTRAY.EXE
N32SCAN.EXE
N32SCANW.EXE
NAVAPW32.EXE
NAVLU32.EXE
NAVSCHED.EXE
NAVW.EXE
NAVW32.EXE
NAVWNT.EXE
NISUM.EXE
NMAIN.EXE
NORMIST.EXE
NUPGRADE.EXE
NVC95.EXE
OUTPOST.EXE
PADMIN.EXE
PAVCL.EXE
PAVSCHED.EXE
PAVW.EXE
PCCWIN98.EXE
PCFWALLICON.EXE
PERSFW.EXE
RAV7.EXE
RAV7WIN.EXE
RESCUE.EXE
SAFEWEB.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
SERV95.EXE
SMC.EXE
SPHINX.EXE
SWEEP95.EXE
TBSCAN.EXE
TCA.EXE
TDS2-98.EXE
TDS2-NT.EXE
VCONTROL.EXE
VET32.EXE
VET95.EXE
VET98.EXE
VETTRAY.EXE
VSCAN40.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSCAN40.EXE
VSSTAT.EXE
WEBSCAN.EXE
WEBSCANX.EXE
WFINDV32.EXE
ZAPRO.EXE
zonealarm.EXE
mcafee.exe
navapsvc.exe
zaplus.exe
vsmon.exe
_AVP32.EXE
_AVPM.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
AUTODOWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVNT.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPMON.EXE
AVPNT.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE
BLACKD.EXE
BLACKICE.EXE
CCAPP.EXE
CFIADMIN.EXE
ESAFE.EXE
CFIAUDIT.EXE
CFIND.EXE
CFINET.EXE
CFINET32.EXE
CLAW95.EXE
CLAW95CF.EXE
CLAW95CT.EXE
CLEANER.EXE
CLEANER3.EXE
DV95.EXE
DV95_O.EXE
DVP95.EXE
DVP95_0.EXE
TerminateEXE
ECENGINE.EXE
EFINET32.EXE
ESPWATCH.EXE
F-AGNT95.EXE
FINDVIRU.EXE
FPROT.EXE
F-PROT.EXE
FPROT95.EXE
F-PROT95.EXE
FP-WIN.EXE
FRW.EXE
F-STOPW.EXE
IAMAPP.EXE
IAMSERV.EXE
IBMASN.EXE
IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICMOON.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
IOMON98.EXE
JED.EXE
JEDI.EXE
KPF.EXE
KPFW32.EXE
LOCKDOWN2000.EXE
LOOKOUT.EXE
LUALL.EXE
MOOLIVE.EXE
MPFTRAY.EXE
N32SCAN.EXE
N32SCANW.EXE
NAVAPW32.EXE
NAVLU32.EXE
NAVSCHED.EXE
NAVW.EXE
NAVW32.EXE
NAVWNT.EXE
NISUM.EXE
NMAIN.EXE
NORMIST.EXE
NUPGRADE.EXE
NVC95.EXE
OUTPOST.EXE
PADMIN.EXE
PAVCL.EXE
PAVSCHED.EXE
PAVW.EXE
PCCWIN98.EXE
PCFWALLICON.EXE
PERSFW.EXE
RAV7.EXE
RAV7WIN.EXE
RESCUE.EXE
SAFEWEB.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
SERV95.EXE
SMC.EXE
SPHINX.EXE
SWEEP95.EXE
TBSCAN.EXE
TCA.EXE
TDS2-98.EXE
TDS2-NT.EXE
VCONTROL.EXE
VET32.EXE
VET95.EXE
VET98.EXE
VETTRAY.EXE
VSCAN40.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSCAN40.EXE
VSSTAT.EXE
WEBSCAN.EXE
WEBSCANX.EXE
WFINDV32.EXE
ZAPRO.EXE
zonealarm.EXE
mcafee.exe
navapsvc.exe
zaplus.exe
vsmon.exe
Troj/Tofger-L
Alias:TrojanDropper.Win32.Small.dd, Backdoor.Tofger
Fajta: Trojan
Jellemzői:
Troj/Tofger-L egyy keylogger (billentyűzetfigyelő) trójai.
Azért, hogy a többi folyamattal együtt indujon el a féregprogram, a Troj/Tofger-L bemásolja magát a Windows mappába SURTE.EXE néven. A regisztrációs adatbázist az alábbiakban módosítja:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Online Service
Ezen túl a Troján a MSTO32.DLL utiliti fájlban van (ezt ismerik fel a víruskeresők, mint Troj/Tofger-C) és így szövegfájlt, SYSINI.INI néven létrehoz a Windows könyvtárban.
Amikor Troj/Tofger-L aktív hálózati kapcsolatot észlel keylogger tulajdonságának részét (keystrokes) kihasználva az Internet Explorerbe gépelt információkat továbbküldi "gazdájának" a megadott címre.
W32/Opaserv-S
Fajta: Win32 worm
Jellemzők:
W32/Opaserv-S hálózati féreg, amelyik elsősorban a nem frissített osztott Win95/98 rendszerek programhibáit kihasználva fertőz.
Biztosítva futását a Windows könyvtárba másolja magát natal!.pif néven, és a regisztrációs adatbázist módosítja:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\4wd!!!
A féreg .log fájlokat hoz létre natlog, natlog2, illetve a natsout.gay és anatsin.gay fájlt a Windows mappában.
W32/Opaserv-S egy weblaphoz próbál csatlakozni és frissíteni magát - és futtatni is. Amíg ez nem sikerül, "vár".
A féreg ha megfertőzte a cél gépet, innen monitorozza a helyi subnet gépeit, és fertőzi meg azokat, melyeken programhibát talál. A fertőzéskor az alábbi fájlt hozza létre: C:\Windows\natal!.pif és a rendszerindításkori futását a távoli gépen a win.ini fájl módosításával "oldja meg".
Végül egy szövegfájlt hoz létre: C:\lammer!.
Kapcsolódó cikkek
- Hangüzenet kíséretében pusztít a BotVoice.A trójai
- Még drágább az adatod
- Sikeresen támadták a Pentagon levelezőrendszerét
- Vírust terjeszt a hamis Adobe letöltőoldal
- Az adathalászat növekedést, a botok előfordulása csökkenést mutat
- Többszáz betörés az amerikai belbiztonsági tárca hálózatába
- Amerika üzenete Kínának: mi nyerjük meg a cyber-háborút!
- Totális háború: egymillió vírus készenlétben
- Májusi kémprogram toplista
- 10 antivírus-szoftver megbukott a júniusi VB 100 teszten