----- Original Message ----- From: <[EMAIL PROTECTED]> To: <[EMAIL PROTECTED]> Sent: Monday, November 25, 2002 3:12 PM Subject: [virusriado] Vírus Riadó hírlevél - 2002. november 25., hétfő
> Vírus Riadó hírlevél - 2002. november 25., hétfő > > Tisztelt Hölgyem/Uram! > > Ön VÍRUS RIADÓ hírlevelünket olvassa. > > Téma: Új email féreg kezdett terjedni: I-Worm.Winevar > [Riasztási fokozata: 1-es (közepes).] > > ------------------------------------------------------------------ > > I-Worm.Winevar > Névváltozatok: HLLM.Seoul, W32.HLLW.Winevar, Korvar, Braid.C, Winevar > > > Az I-Worm.Winevar az Interneten email üzenetek mellékletében terjed. > Jelenlétét először Koreában észlelték. A féreg maga egy kb. 91 Kb hosszúságú > PE EXE fájl, melyet Visual C++ nyelven írtak. > A fertőzött üzenet az alábbiak szerint néz ki: > > Tárgy: (Subject) > Re: AVAR(Association of Anti-Virus Asia Reseachers) > > Levélszöveg: (Body) > AVAR(Association of Anti-Virus Asia Reseachers) - Report. > Invariably, Anti-Virus Program is very foolish. > > Csatolt állomány: (Attachment) > MUSIC_1.HTM > MUSIC_2.CEO > > A féreg a lefuttatásához egy biztonsági rést (IFRAME Exploit) próbál meg > kihasználni. A féreg telepíti magát a rendszerbe, majd lefuttatja a > terjesztő és büntető rutinját. > > > > Fertőzés: > --------- > A féreg véletlenszerű neveken bemásolja magát a Windows System alkönyvtárba: > > WIN%rnd%.EXE or WIN%rnd%.PIF > > Ahol a %rnd% érték egy véletlenszám, és és létrehoz egy olyan registry > kulcsot, amely ezt minden rendszerindításkor lefuttatja: > > [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] > [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] > [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] > > > A féreg ezen kívül létrehoz (dropper) egy Funlove.4099 vírusvariánst is, > amelyet WINxxxx.PIF néven néven bemásol, szintén a Windows System > alkönyvtárba. > > A Funlove eredeti szövege helyett az alábbit karaktersorozatot tartalmazza: > ~AAVAR 2002 in Seoul~ > > Míg az eredeti Funlove vírus neve FLCSS.EXE volt, itt AAVAR.PIF néven > keletkezik. > > > Megjeleníti az alábbi üzenetet: > > Make a fool of oneself > What a foolish thing you have done! > > A féreg létrehoz magából (dropper) egy Funlove.4099 vírusvariánst is, > WINxxxx.PIF néven > > > Terjedés: > ---------- > A féreg a *.HTM állományokban és a .DBX (Outlook Express) levelező mappa > állományokban kutat címek után és ezekre küldi tovább magát. A címek közül > azonban nem használja azokat, amelyek a "microsoft@" karaktersorozattal > kezdődnek. > > A terjedéshez közvetlenül az alapbeállításban szereplő SMTP mail servert > használja, ezt a Windows regisztrációs adatbázisból olvassa ki. > > A féreg szintén tartalmaz egy hálózati terjedési rutint is, amelyik > bemásolja magát EXPLORER.PIF néven a hálózati megosztásokba, de az első > vizsgálat alapján úgy tűnik, ezt a rutint nem fejezte be a vírusíró. > > > Büntető rutin: > -------------- > A féreg a futó processzek között anti-virus, tűzfal és debugger programok > folyamatait is megpróbálja megkeresni és leállítani, valamint a hozzájuk > tartozó állományokat letörölni. Néhány esetben (vagy talán minden > alkalommal?) ha antivirus programot talál, a féreg minden állományt töröl az > összes meghajtóról. Azt pontosan nem tudni, hogy ezt szándékosan teszi, vagy > ez egy programhiba a víruskódban. > > > A féreg megváltoztatja a Regisztrációs adatbázisban (Registry) az alábbi > kulcsokat: > > SOFTWARE\Microsoft\Windows NT\CurrentVersion > SOFTWARE\Microsoft\Windows\CurrentVersion > > Ezek eredeti értéke helyett a következő szövegeket írja be: > > RegisteredOrganization = Trand Microsoft Inc. > RegisteredOwner = AntiVirus > > Ezenfelül a féreg végtelen ciklusban hívogatja a http://www.symantec.com Web > oldalt, > úgy tűnik, DoS támadást próbál intézni a szerver ellen. > > A féreg az alábbi, titkosított szövegeket tartalmazza: > > ~~ Drone Of StarCraft~~ > http://www.sex.com/ > > ------------------------------------------------------------------- > > VÍRUS RIADÓ hírlevelet abban az esetben küldünk, amennyiben egy veszélyes > fertőzés indult el, vagy egy vírus széles körű elterjedése várható. > > Üdvözlettel: > Vírus Híradó Szerkesztőség > 2F 2000 Kft. > > Cím: 1016 Budapest, Hegyalja út 5. > E-mail: mailto:[EMAIL PROTECTED] > www.virushirado.hu > > > Figyelem! > Ne felejtse, hogy az általunk küldött hírlevelek sosem tartalmaznak csatolt > file-okat, és mindig Text/Plain (egyszerű szöveges) formában küldjük ki. > Amennyiben mégis találkozna másféle hírlevéllel, értesítsen minket az > [EMAIL PROTECTED] címen. > > _______________________________________________ Akta maillist - [EMAIL PROTECTED] http://www.irisz.hu/mailman/listinfo/akta
