Cảnh báo virus: [email protected]

[email protected] là một loại "bom thư" sử dụng động cơ SMTP riêng để lây nhiễm qua e-mail, và mở một thành phần "cổng sau" tại cổng TCP/1080 để kẻ tấn công có thể kết nối trái phép tới máy tính nạn nhân.

Hệ điều hành lây nhiễm: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

Ngày phát tác: 19/7/2004

Mô tả:

Khi thực thi, [email protected] sẽ thực thi các tác vụ sau:

  1. Xoá bất cứ giá trị nào chứa các chuỗi sau:

    9XHtProtect
    Antivirus
    EasyAV
    FirewallSvr
    HtProtect
    ICQ Net
    ICQNet
    Jammer2nd
    KasperskyAVEng
    MsInfo
    My AV
    NetDy
    Norton Antivirus AV
    PandaAVEngine
    service
    SkynetsRevenge
    Special Firewall Service
    SysMonXP
    Tiny AV
    Zone Labs Client Ex

    ... từ các khoá:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  2. Tạo ra các file sau:

    %System%\winxp.exe
    %System%\winxp.exeopen
    %System%\winxp.exeopenopen
    %System%\winxp.exeopenopenopen
    %System%\winxp.exeopenopenopenopen

    Chú ý: %System% là một biến và virus có thể xác định được vị trị của thư mục hệ thống và tự nhân bản vào đó. Theo mặc định, vị trí của thư mục hệ thống sẽ là: C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), hoặc C:\Windows\System32 (Windows XP).

  3. Thả file winxp.exeopenopen vào thư mục hệ thống: %System%\winxp.exeopenopen (có thể là file zip hoặc cpl).

    • Nếu file ở định dạng .zip, nó sẽ chứa hai file có tên ngẫu nhiên. Một file sẽ là file .exe và file còn lại là file text với phần mở rộng: .sys, .dat, .idx, .vxd, .vid, hoặc .dll.

    • Nếu file ở dạng .cpl, khi thực thi sẽ thả một file có tên cjector.exe vào thư mục %Windir%.

      Chú ý: %Windir% là một biến và sâu có thể xác định được thư mục cài đặt Windows và tự nhân bản vào thư mục đó, mặc định là: C:\Windows hoặc C:\Winnt

  4. Bổ sung giá trị:

    "key" = "%System%\winxp.exe"

    ... và khoá registry sau để sau có thể tự động chạy khi hệ thống khởi động:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

  5. Mở cổng sau tại TCP/1080.

  6. Kết nối với các đoạn script .php tại một số các tên miền quy định trước (danh sách được liệt kê ở cuối bài).

  7. Chấm dứt một số process (tiến trình) bảo mật (danh sách được liệt kê ở cuối bài).

  8. Nếu ngày của hệ thống sau: 5/5/2006, sâu sẽ thoát khỏi bộ nhớ và xoá các giá trị và khoá liên quan tới sâu:

    HKEY_CURRENT_USER\SOFTWARE\base_path

  9. Cố tạo ra các bản copy của sâu tại bất kỳ một thư mục nào có chứa ký tự "shar." Các file virus này như sau:

    • ACDSee 9.exe

    • Adobe Photoshop 9 full.exe

    • Ahead Nero 7.exe

    • Kaspersky Antivirus 5.0

    • KAV 5.0

    • Matrix 3 Revolution English Subtitles.exe

    • Microsoft Office 2003 Crack, Working!.exe

    • Microsoft Office XP working Crack, Keygen.exe

    • Microsoft Windows XP, WinXP Crack, working Keygen.exe

    • Opera 8 New!.exe

    • Porno pics arhive, xxx.exe

    • Porno Screensaver.scr

    • Porno, sex, oral, anal cool, awesome!!.exe

    • Serials.txt.exe

    • WinAmp 5 Pro Keygen Crack Update.exe

    • WinAmp 6 New!.exe

    • Windown Longhorn Beta Leak.exe

    • Windows Sourcecode update.doc.exe

    • XXX hardcore images.exe

  10. Tìm kiếm các địa chỉ e-mail trong các file có các phần mở rộng sau:

    • .adb

    • .asp

    • .cfg

    • .cgi

    • .dbx

    • .dhtm

    • .eml

    • .htm

    • .jsp

    • .mbx

    • .mdx

    • .mht

    • .mmf

    • .msg

    • .nch

    • .ods

    • .oft

    • .php

    • .pl

    • .sht

    • .shtm

    • .stm

    • .tbb

    • .txt

    • .uin

    • .wab

    • .wsh

    • .xls

    • .xml

  11. Sử dụng động cơ SMTP riêng để gửi thư tới bất cứ một địa chỉ e-mail nào tìm thấy. Các e-mail nhiễm virus có thể mang các đặc điểm sau:

    From:

    Subject: Re_

    Thông điệp:

    • foto3 and MP3

    • fotogalary and Music

    • fotoinfo

    • Lovely animals

    • Animals

    • Predators

    • The snake

    • Screen and Music

      Phần đính kèm: (là một trong các tên sau)

    • Cat

    • Cool_MP3

    • Dog

    • Doll

    • Fish

    • Garry

    • MP3

    • Music_MP3

    • New_MP3_Player


      Phần mở rộng của file đính kèm:

    • .exe

    • .scr

    • .com

    • .cpl

    • .zip (this will be password protected)



Tên miền

[email protected] sẽ cố kết nối tới các tên miền sau:

  • abtacha.wirebrain.de

  • begros.de

  • deepiceman.de

  • dfk-crew.clanintern.de

  • die-cliquee.de

  • edwinf.surfplanet.de

  • knecht.cs.uni-magdeburg.de

  • login.rz.fh-augsburg.de

  • niematec.de

  • obechmann.de

  • pe-data.de

  • people-ftp.freenet.de

  • people-ftp.freenet.de

  • people-ftp.freenet.de

  • ronnyackermann.de

  • sgi1.rz.rwth-aachen.de

  • symbit.de

  • tripod.de

  • web154.essen082.server4free.de

  • web216.berlin240.server4free.de

  • www.aachen.de

  • www.abacho.de

  • www.anwaltverein.de

  • www.aquarius.geomar.de

  • www.astronomie.de

  • www.atlantis-show.de

  • www.atlas-hannover.de

  • www.awi-bremerhaven.de

  • www.baden-wuerttemberg.de

  • www.bayerninfo.de

  • www.beck.de

  • www.berlinonline.de

  • www.bessy.de

  • www.bitburger.de

  • www.blk-bonn.de/

  • www.bmgs.bund.de

  • www.brigitte.de

  • www.bundesliga.de

  • www.calistyler.de

  • www.citypopulation.de

  • www.dar-fantasy.de

  • www.dasding.de

  • www.degruyter.de

  • www.destatis.de



Tiến trình

[email protected] sẽ cố chấm dứt các tiến trình sau:

  • AGENTSVR.EXE

  • ANTI-TROJAN.EXE

  • ANTI-TROJAN.EXE

  • ANTIVIRUS.EXE

  • ANTS.EXE

  • APIMONITOR.EXE

  • APLICA32.EXE

  • APVXDWIN.EXE

  • CLEAN.EXE

  • CLEAN.EXE

  • CLEANER.EXE

  • CLEANER.EXE

  • CLEANER3.EXE

  • CLEANPC.EXE

  • CLEANPC.EXE

  • CMGRDIAN.EXE

  • CMGRDIAN.EXE

  • CMON016.EXE

  • CMON016.EXE

  • CPD.EXE

  • DRWATSON.EXE

  • DRWEBUPW.EXE

  • ENT.EXE

  • ESCANH95.EXE

  • ESCANHNT.EXE

  • ESCANV95.EXE

  • MSSMMC32.EXE

  • MU0311AD.EXE

  • NAV80TRY.EXE

  • NAVAPW32.EXE

  • NAVDX.EXE

  • NAVSTUB.EXE

  • NAVW32.EXE

  • NC2000.EXE

  • NCINST4.EXE

  • NDD32.EXE

  • NEOMONITOR.EXE

  • NETARMOR.EXE

  • NETINFO.EXE

  • NETMON.EXE

  • NETSCANPRO.EXE

  • POPROXY.EXE

  • POPSCAN.EXE

  • PORTDETECTIVE.EXE

  • PPINUPDT.EXE

  • PPTBC.EXE

  • PPVSTOP.EXE

  • PROCEXPLORERV1.0.EXE

  • PROPORT.EXE

  • PROTECTX.EXE

  • SUPPORTER5.EXE

  • SYMPROXYSVC.EXE

  • SYSEDIT.EXE

  • TASKMON.EXE

  • TAUMON.EXE

  • TAUSCAN.EXE

  • TC.EXE

  • TCA.EXE

  • TCM.EXE

  • TDS2-98.EXE

  • TDS2-NT.EXE

  • TDS-3.EXE

  • TFAK5.EXE

  • TGBOB.EXE

  • TITANIN.EXE

  • TITANINXP.EXE

  • TRACERT.EXE

  • TRJSCAN.EXE

  • TRJSETUP.EXE

  • TROJANTRAP3.EXE

  • UNDOBOOT.EXE

  • UPDATE.EXE

  • VSWINNTSE.EXE

  • VSWINPERSE.EXE

  • W32DSM89.EXE

  • W9X.EXE

  • WATCHDOG.EXE

  • WEBSCANX.EXE

  • WGFE95.EXE

  • WHOSWATCHINGME.EXE

  • WHOSWATCHINGME.EXE

  • WINRECON.EXE

  • WNT.EXE

  • WRADMIN.EXE

  • WRCTRL.EXE

  • WSBGATE.EXE

  • WYVERNWORKSFIREWALL.EXE

  • XPF202EN.EXE

  • ZAPRO.EXE

  • ZAPSETUP3001.EXE

  • ZATUTOR.EXE

  • ZAUINST.EXE

  • ZONALM2601.EXE

  • ZONEALARM.EXE

Bạn có thể tải công cụ diệt virus [email protected] tại đây

Thứ Tư, 21/07/2004 18:03
31 👨 153
0 Bình luận
Sắp xếp theo