Kezdolap  
 
   


W32/Auric@MM

Adatlap
 
Megjelenés dátuma: 2003.05.29.
Eredete: Magyarország
Hossza: 622.592 byte vagy tömörítve (UPX) 240.640 byte
Típusa: Internet programféreg
Altípusa: programféreg
Szükséges adatbázis: 4269
Szükséges keresőmotor: 4.1.60

Leírás módosítva: 2003-06-02 11:45 DE

Tulajdonságok

A programféreg e-mailen keresztül terjed "Maya Gold.scr" nevű csatolt állományként. A csatolt állomány mérete 622kb, tömörítve (UPX) 240 kb. Javasolt a tűzfalakon/levelezőrendszerben az .SCR kiterjesztésű állományok blokkolása.

A program futtatásakor az alábbi hibaüzenet jelenik meg:

Az email az alábbi tulajdonságokkal rendelkezik:

  • From: EROTIKA@LAP.HU
  • Subject: Maya Gold-os képernyőkímélő!

Üzenettörzs:

Tisztelt cím!
Az EROTIKA.LAP.HU nézettségének növelése érdekében egy kis ízelítőt kíván adni kínálatából az Internet felhasználóknak!
FIGYELEM: A 'Maya Gold.scr' nevű csatolt állomány egy képernyővédő.
Mint a neve is mutatja Maya Gold pornószínésznőről tartalmaz különböző képeket.
Az állományt ajánlott előbb a lemezre menteni, majd utána futtatni.

Amennyiben valami problémája, kérdése van, írjon a következő címre:
erotika@lap.hu

Üdvözlettel: EROTIKA.LAP.HU

A fertőzött rendszer adatait egy email-ben továbbítja a rave-punk@freemail.hu címre.

Üzenet:

Szevasz haver!
Ez tökre bejött! Nesze a cucc:
Név:
Winver:
Felkész:

Megoszt:

PUNKS NOT DEAD

Tünetek

  • raVe.exe a Windows könyvtárban
  • RAVE*.txt állomány a Desktop-on
  • A vírus elindítja az Internet Explorer-t, és megpróbál a www.offsprings.com címre csatlakozni
  • raVe.exe hivatkozások az alábbi Registry kulcsokban

A fertőzés menete

A csatolt állományra kattintva a programféreg lefut és egy hibaüzenet jelenik meg a képernyőn. Ezzel párhuzamosan bemásolja magát a Windows könyvtárba "raVe.exe" néven. Az alábbi Registry kulcsok móodosításával a programféreg minden bekapcsoláskor automatikusan lefut.

HKEY_CLASSES_ROOT\batfile\shell\open\command
HKEY_CLASSES_ROOT\exefile\shell\open\command
HKEY_CLASSES_ROOT\comfile\shell\open\command
HKEY_CLASSES_ROOT\piffile\shell\open\command
HKEY_CLASSES_ROOT\scrfile\shell\open\command

A változtatások következtében minden .bat, .exe, .com, .pif, .scr állomány futtatása a RaVe.exe állományra hivatkozva történik meg, és először a vírus fut le, majd az elindított program. Ha a vírust manuálisan próbáljuk meg eltávolítani (RAVE.EXE törlése), akkor .bat, .exe, .com, .pif, .scr állományok nem fognak elindulni.

A programféreg terjedéséhez az alábbi lehetőségeket használja: P2P állomány megosztó (Kazaa, eDonkey, Bearshare, Shareaza, Gnucleus, Limewire, Morpheus, Grokster), ICQ, IRC ("Maya Gold.scr").

További elnevezések

I-Worm.Magold (VBuster)
W32.hllw.Magold@MM (Symantec)

  
  A PiK-SYS Kft. által készített dokumentációk és információs anyagok szerzői jogi védelem alatt állnak. (C) PiK-SYS Kft., 2003.