Ünnepi vírusok

Geza Papp, 2003. december 28. 15:10
Remélem, mindenkinek sikerült elkerülnie, hogy olyan karácsonyi üdvözlőlapot kapjon, mely "csomaggal" együtt érkezik. Mivel postaládánkat hamarosan elárasztják az újévi jókívánságok, néhány új vírusra szeretném felhívni a figyelmet.
Új e-mailben terjedő vírus bukkant fel, amit a számítógépes férgek közé sorolhatunk.

I-Worm.Sober.C

Alias I-Worm.Sober.c, W95/Sober.C@mm, W32/Sober.c@MM, Win32/Sober.C, WORM_SOBER.C

A Sober.C megosztott hálózatokon, peer-to-peer hálózatokon és e-mail üzenetek mellékleteként küldi magát a fertőzött számítógépről gyűjtött e-mail címekre. Német és angol szövegű leveleket küldözgetve elsősorban német nyelvű országokban számít elterjedtnek. A levelek melléklete a 74 kB körüli vírus. A fertőzött levelek jellemzője mind a tárgysor, mind a szöveg és a csatolt fájl véletlenszerű elnevezése.

Tárgysor példa:

ups, i've got your mail

Sorry, thats your mail

hi, its me

Thank You very very much

you are an idiot

why me?

I hate you

Preliminary investigation were started

Your IP was logged

You use illegal File Sharing ...

A Trojan horse is on your PC

a trojan is on your computer!

Anime, Pokemon, Manga, ...

Caution: To all gamers

Attention: To all gamers

Anmeldebestätigung

Bankverbindungs- Daten

Sie sind ein Raubkopierer

Levélszövegek pl. az alábbiak lehetnek:

"Sehr geehrter Kunde,

Vielen Dank für Ihre Anmeldung auf unserem Server.

Der Betrag von Euro 279,- wurde erfolgreich von Ihrem Konto abgebucht.

Ihnen stehen nun 1 Jahr lang mehr als 2300 sehr sehr heiße

Internet Seiten zur Verfügung.

Wir bedauern, das es im Vorfeld so lange gedauert hat,

unser Mail Dienst hatte diese Daten auf einen anderen E-Mail Empfänger

geschickt.

Da nun dieser Fehler behoben zu sein scheint, wünschen wir Ihnen

viel Spass mit unserem Angebot!

Die Seiten die Sie nun aufrufen können und die Zugangsdaten

befinden sich gesichert im Anhang."

"hi, I am from Austria and you'll don't believe me,

but a trojan horse in on your pc.

I've scanned the network-ports on the internet.

And I have found your pc.

Your pc is open on the internet for everybody!

Because the >filename<.exe trojan is running on your system.

Check this, open the task manager and try to stop that!

You'll see, you can't stop this trojan.

When you use win98/me you can't see the trojan!!

On my system was this trojan, too!

And I've found a tool to kill that bad thing.

I hope that I've helped you!"

A csatolt állomány kiterjesztése is véletlenszerűen változhat, nevéhez hasonlóan: EXE, SCR, PIF, COM, CMD or BAT.

Példák:

  • www.iq4you-german-test.com
  • www.freewantiv.com
  • www.free4manga.com
  • www.free4share4you.com
  • www.tagespolitik-umfragen.com
  • www.onlinegamerspro-worm.com
  • www.freegames4you-gzone.com
  • www.boards4all-terror432.com
  • www.anime4allfree.com
  • www.animepage43252.com

A fertőzés utáni első futáskor a féreg bemásolja magát a Windows system mappába syshostx.exe néven, és még két véletlenszerűen választott néven.

W32/Sober-C a regisztrációs adatbázisban az alábbi változást idézi elő:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\

a féreg két említett véletlenszerű, ismeretlen nevű verziója ekkor már mint "system logon" futhat.

Az alábbi nevű állományok ismertek eddig ezek közül - a Windows system mappában:

ms16taskwin.exe

savesyss.dll

Humgly.lkur

yfjq.yqwm

Ezek nem malicious állományok, törölhetők.

W32/Sober-C bemásolja önmagát a KaZaA könyvtár My Shared Folder alkönyvtárába futtatható állományok formájában COM, EXE, SCR, BAT, CMD , PIF.

Új hálózati féreg elsősorban a megosztott (fájlmegosztó) hálózatokon fertőz, a

W32/Bodiru-A

Alias: W32.HLLW.Bodiru, PE_Bodiru.A

A W32/Bodiru-A féreg a "peer-to-peer" hálózatokaon terjed elsősorban. Futásakor képes megfertőzni elsősorban a közkedvelt megosztott hálózatokat, melyeken igen nagy számú másolatait szórja szét - ezek a "peer-to-peer" fájlmegosztó, ill. megosztott hálózatok: KaZaA, Kazaa Lite K++, Edonkey2000 és az Emule - melyek tagjainál a féregmásolatok egy Incoming mappába kerülnek.

A W32/Bodiru-A az alábbi neveket használja:

ACDSee 5.5.exe

AOL Instant Messenger Crasher.exe

AVP Antivirus Pro Key Crack.exe

Adobe_Keyge.exe

Age of Empires 2 crack.exe

Aim bot ut3.exe

All Microsoft Products CD Key Generator.exe

All Norton Antivirus KEys!.exe

Ana Kournikova Sex Video (downloader).exe

Animated Screen 7.exe

Any Nick Name Msn 6.0.exe

Aol_cracker.exe

AquaNox2 Crack.exe

Audiograbber 2.05.exe

BabeFest 2003 ScreenSaver 1.6.exe

Battlefield1942_bloodpatch.exe

Battlefield1942_keygen.exe

Britney Spears Sex Video.exe

Buffy Vampire Slayer Movie.exe

BurnDvds.exe

Business Card Designer Plus 7.9.exe

Clone CD 5.0.0.3 (crack).exe

Clone CD 5.0.0.3.exe

Cool Edit Pro v2.55.exe

Counter Strike - See Through Walls.exe

Crack Passwords Mail.exe

Credit Card Numbers generator(incl Visa,MasterCard).exe

Credit_Card_Numbers_generator.exe

DVD Copy Plus v5.0.exe

DVD Region-Free 2.3.exe

Darkness_Krew.exe

DeadAim 4.0 KeyGen.exe

Diablo 3 Crack.exe

Diablo_2_Crack.exe

DirectDVD 5.0.exe

DirectX Buster (all versions).exe

DivX Video Bundle 6.5.exe

Divx_Pro_5.1_Serial.exe

Divx_pro (FINAL!).exe

Doom III (Cd KEys).exe

Download Accelerator Plus 6.1.exe

Dvd_Plus_Crack.exe

Dvd_Ripper(The Best 04).exe

Dvd_To_Vcd.exe

Easy_Dvd_Ripper.exe

Easy_Dvd_creator_Crack.exe

Edonkey2000-Speed me up scotty.exe

FIFA2003 crack.exe

Fifa 2004 (Cd Crack).exe

Final Fantasy VII XP Patch 1.5.exe

Flash MX crack (trial).exe

FlashGet 1.5.exe

FreeRAM XP Pro 1.9.exe

GTA 3 Crack.exe

GTA 3 Serial.exe

Game Cube Real Emulator.exe

GetRight 5.0a.exe

Gothic2 licence.exe

Guitar Chords Library 5.5.exe

Hack Any Kazaa User.exe

Hack The School.exe

Hack Website Easy.exe

Hacker_The_LoveStory.exe

Half Life 2 (Cd Crack).exe

Half Life 2 (cd Keys).exe

Harry potter2 Crack.exe

Hitman_2_no_cd_crack.exe

Hotmail Hacker Gold (All Msn Versions!).exe

Hotmail_Hacker_2003-Xss_Exploit.exe

Ip Nuker V6 (Reall Works).exe

KaZaA Hack 2.5.0.exe

KaZaA Speedup 3.6.exe

KaZaA-Hack_2.5.0.exe

Kazaa Lite )FINALL!(.exe

Kazaa SDK + Xbit speedUp for 2.xx.exe

LYNDEN.exe

Links 2003 Golf game (crack).exe

Living Waterfalls 1.3.exe

Love.exe

MSN Password Hacker 5.7 (worked on my ex-girlfriend!).exe

MWorld Of Warcraft (FULL) Installer and Downloader.exe

Macromedia product keys.exe

Macromedia_Keygen.exe

Mafia_crack.exe

Mail Bomber For msn messsenger 6.0.exe

Matrix Screensaver 1.5.exe

Mcafee Antivirus Scan Crack.exe

MediaPlayer Update.exe

Messenger Plus Latest!.exe

Microsoft .NET hack.exe

Microsoft KeyGenerator-Allmost all microsoft stuff.exe

Msn 6.0 (Multi Messenger).exe

Msn 6.0 Crasher!.exe

Msn 6.0 Kicker.exe

Msn 6.0 Password Cracker.exe

Msn Emotions (Version 6.0).exe

Msn Emotions (Version 6.1).exe

Msn Ip Finder 2004.exe

Msn Messenger 6.0 Bomber!.exe

Msn Messenger Betta 6.2.exe

Music Download 2003 (Full Albums).exe

NBA2003_crack.exe

Need 4 Speed crack.exe

Nero_Burning_Rom_Crack.exe

Netbios Nuker 2003.exe

Netbios Nuker 2004.exe

Netfast 1.8.exe

Network Cable e ADSL Speed 2.0.5.exe

Nimo CodecPack (new) 8.0.exe

Nimo_Codec_PackUpdater.exe

Norton Anvirus Key Crack.exe

PS2 PlayStation Simulator.exe

PalTalk 5.01b.exe

Panda Antivirus Titanium Crack.exe

Pop-Up Stopper 3.5.exe

Popup Defender 6.5.exe

Ps2 Real Emulator.exe

Quake 3 Keygen (works Great).exe

Quake3 - See through wallz.exe

Quick Time Key Crack.exe

QuickTime_Pro_Crack.exe

Real Sex Toys!.exe

Screen saver christina aguilera naked.exe

Security-2003-Update.exe

Serials 2003 v.8.0 Full.exe

Serials 2004 v.8.0 Full.exe

SmartFTP 2.0.0.exe

SmartRipper v2.7.exe

Space Invaders 1978.exe

Splinter_Cell_Crack.exe

Starcraft serials.exe

Stripping MP3 dancer+crack.exe

Sub 7 2.9.exe

Trillian 0.85 (free).exe

TweakAll 3.8.exe

UT2003_bloodpatch.exe

UT2003_keygen.exe

UT2003_no cd (crack).exe

UT2003_patch.exe

Unreal Tournament 2003 (Cd Crack).exe

Unreal Tournament 2003 (Cd KEys).exe

Unreal2_bloodpatch.exe

Unreal2_crack.exe

VB6.exe

Visual Basic (ALL KEYS GEN).exe

Visual Basic 6.0 Msdn Plugin.exe

Visual Basic Decompiler.exe

WarCraft_3_crack.exe

WinOnCD 4 PE_crack.exe

WinRar 3.xx Password Cracker.exe

WinZip 9.0b (CRACK).exe

WinZip 9.0b.exe

WinZipped Visual C++ Tutorial.exe

WindowBlinds_4.0.exe

Windows XP complete + serial.exe

Windows Xp Exploit.exe

Winzip KeyGenerator Crack.exe

XNuker 2003 2.93b.exe

XNuker_2003_2.93b.exe

Xvid_Codec_Installer.exe

Yahoo Account Stealer.exe

Yahoo Messenger 6.0.exe

Zelda Classic 2.00.exe

aol password cracker.exe

cable modem ultility pack.exe

cable modem.exe

counter-strike.exe

mIRC 6.40.exe

pamela_anderson.exe

play station emulator.exe

serials2000.exe

warcraft 3 crack (Really Works).exe

warcraft 3 serials.exe

winamp plugin pack.exe

winzip full version key generator.exe

A féreg a c:\dllsystemhelp.bat.fájl segítségével megoszthatja a lokális meghajtót, melyet megfertőzött.

A W32/Bodiru-A a regisztrációs adatbázisban az alábbi változásokat jegyzi, hogy azonnal futhasson a féregkód a Windows startup menüjének folyamataival egy időben:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\App.EXEName

W32/Bodiru-A az alábbi fájlok biztosan fertőzöttek:

C:\Program Files\WinZip\WINZIP32.EXE

C:\Program Files\Norton AntiVirus\Navw32.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Windows\Wscript.exe

C:\Windows\Rundll.exe

C:\Windows\Rundll32.exe

C:\winnt\Regedit.exe

C:\Windows\System\Underwater.scr

C:\windows\Regedit.exe

C:\winnt\system32/Regedit.exe

A fertőzési rutin: nem szabályosan fertőz bizonyos fájlokat, hanem "csak"elrontja, károsítja azokat.

A W32/Bodiru-A DoS denial-of-service támadást kezd a symantec.com ellen, ICMP ping flood formában küldi nagyszámú "csomagjait" céljának.

A féreg hatástalanítani képes a következő antivírusfájlokat:

_AVP.EXE

_AVP32.EXE

_AVPM.EXE

ANTI-TROJAN.EXE

APVXDWIN.EXE

AUTODOWN.EXE

AVCONSOL.EXE

AVE32.EXE

AVGCTRL.EXE

AVKSERV.EXE

AVNT.EXE

AVP.EXE

AVP32.EXE

AVPCC.EXE

AVPDOS32.EXE

AVPM.EXE

AVPMON.EXE

AVPNT.EXE

AVPTC32.EXE

AVPUPD.EXE

AVSCHED32.EXE

AVWIN95.EXE

AVWUPD32.EXE

BLACKD.EXE

BLACKICE.EXE

CCAPP.EXE

CFIADMIN.EXE

ESAFE.EXE

CFIAUDIT.EXE

CFIND.EXE

CFINET.EXE

CFINET32.EXE

CLAW95.EXE

CLAW95CF.EXE

CLAW95CT.EXE

CLEANER.EXE

CLEANER3.EXE

DV95.EXE

DV95_O.EXE

DVP95.EXE

DVP95_0.EXE

TerminateEXE

ECENGINE.EXE

EFINET32.EXE

ESPWATCH.EXE

F-AGNT95.EXE

FINDVIRU.EXE

FPROT.EXE

F-PROT.EXE

FPROT95.EXE

F-PROT95.EXE

FP-WIN.EXE

FRW.EXE

F-STOPW.EXE

IAMAPP.EXE

IAMSERV.EXE

IBMASN.EXE

IBMAVSP.EXE

ICLOAD95.EXE

ICLOADNT.EXE

ICMON.EXE

ICMOON.EXE

ICSSUPPNT.EXE

ICSUPP95.EXE

ICSUPPNT.EXE

IFACE.EXE

IOMON98.EXE

JED.EXE

JEDI.EXE

KPF.EXE

KPFW32.EXE

LOCKDOWN2000.EXE

LOOKOUT.EXE

LUALL.EXE

MOOLIVE.EXE

MPFTRAY.EXE

N32SCAN.EXE

N32SCANW.EXE

NAVAPW32.EXE

NAVLU32.EXE

NAVSCHED.EXE

NAVW.EXE

NAVW32.EXE

NAVWNT.EXE

NISUM.EXE

NMAIN.EXE

NORMIST.EXE

NUPGRADE.EXE

NVC95.EXE

OUTPOST.EXE

PADMIN.EXE

PAVCL.EXE

PAVSCHED.EXE

PAVW.EXE

PCCWIN98.EXE

PCFWALLICON.EXE

PERSFW.EXE

RAV7.EXE

RAV7WIN.EXE

RESCUE.EXE

SAFEWEB.EXE

SCAN32.EXE

SCAN95.EXE

SCANPM.EXE

SCRSCAN.EXE

SERV95.EXE

SMC.EXE

SPHINX.EXE

SWEEP95.EXE

TBSCAN.EXE

TCA.EXE

TDS2-98.EXE

TDS2-NT.EXE

VCONTROL.EXE

VET32.EXE

VET95.EXE

VET98.EXE

VETTRAY.EXE

VSCAN40.EXE

VSECOMR.EXE

VSHWIN32.EXE

VSSCAN40.EXE

VSSTAT.EXE

WEBSCAN.EXE

WEBSCANX.EXE

WFINDV32.EXE

ZAPRO.EXE

zonealarm.EXE

mcafee.exe

navapsvc.exe

zaplus.exe

vsmon.exe

Troj/Tofger-L

Alias:TrojanDropper.Win32.Small.dd, Backdoor.Tofger

Fajta: Trojan

Jellemzői:

Troj/Tofger-L egyy keylogger (billentyűzetfigyelő) trójai.

Azért, hogy a többi folyamattal együtt indujon el a féregprogram, a Troj/Tofger-L bemásolja magát a Windows mappába SURTE.EXE néven. A regisztrációs adatbázist az alábbiakban módosítja:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Online Service

Ezen túl a Troján a MSTO32.DLL utiliti fájlban van (ezt ismerik fel a víruskeresők, mint Troj/Tofger-C) és így szövegfájlt, SYSINI.INI néven létrehoz a Windows könyvtárban.

Amikor Troj/Tofger-L aktív hálózati kapcsolatot észlel keylogger tulajdonságának részét (keystrokes) kihasználva az Internet Explorerbe gépelt információkat továbbküldi "gazdájának" a megadott címre.

W32/Opaserv-S

Fajta: Win32 worm

Jellemzők:

W32/Opaserv-S hálózati féreg, amelyik elsősorban a nem frissített osztott Win95/98 rendszerek programhibáit kihasználva fertőz.

Biztosítva futását a Windows könyvtárba másolja magát natal!.pif néven, és a regisztrációs adatbázist módosítja:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\4wd!!!

A féreg .log fájlokat hoz létre natlog, natlog2, illetve a natsout.gay és anatsin.gay fájlt a Windows mappában.

W32/Opaserv-S egy weblaphoz próbál csatlakozni és frissíteni magát - és futtatni is. Amíg ez nem sikerül, "vár".

A féreg ha megfertőzte a cél gépet, innen monitorozza a helyi subnet gépeit, és fertőzi meg azokat, melyeken programhibát talál. A fertőzéskor az alábbi fájlt hozza létre: C:\Windows\natal!.pif és a rendszerindításkori futását a távoli gépen a win.ini fájl módosításával "oldja meg".

Végül egy szövegfájlt hoz létre: C:\lammer!.
Kulcsszavak: hacker vírus security

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Huszadik alkalommal adták át a Hégető Honorka-díjakat

2024. november 21. 16:58

Hosszabbít ’Az Év Honlapja’ pályázat!

2024. november 19. 09:54

Törj be a digitális élvonalba: Nevezz ’Az Év Honlapja’ pályázatra!

2024. november 14. 16:36

A virtuális valóság az egészségügyet is forradalmasíthatja

2024. november 12. 18:01