Kezdolap  
 
   


W32/Coronex.worm.gen

Adatlap

Felfedezés dátuma: 2003.04.22
Eredete: ismeretlen
Hossz: 12288 bájt
Típus: Vírus
Altípus: E-mail
Minimális DAT: 4259
Minimális keresőmotor: 4.1.60

Előfordulás valószínűsége

Vállalati környezet: Alacsony
Otthoni felhasználók: Alacsony

Tulajdonságok

Tömeges levelezéssel terjedő programféreg. Kárt okozó kódrészt nem tartalmaz. A féreg a Windows címejgyzékben szereplő címekre küldi tovább önmagát.

Elektronikus levélhez csatolt állományban érkezik. Az üzenet formátuma az alábbi:

From: sars@hotmail.com
Subject: SARS
Message: Severe Acute Respiratory Syndrome
Attachment: Sars.exe

From: sars2@hotmail.com
Subject: I need your help
Message: Severe Acute Respiratory Syndrome
Attachment: Corona.exe

From: corona@hotmail.com
Subject: Virus Alert!
Message: SARS Virus
Attachment: Virus.exe

From: virus@yahoo.com
Subject: Corona Virus
Message: honk kong
Attachment: Hongkong.exe

From: deaths@china.com
Subject: bye
Message: deaths virus
Attachment: Deaths.exe

From: virus@china.com
Subject: SARS
Message: SEE Ya
Attachment: Sars2.exe

From: Virus2@china.com
Subject: SARS Virus
Message: SARS Corona Virus
Attachment: Cv.exe

A csatolt fájl lefuttatásakor az alábbiak történnek:

  • A vírus egy pédányát a %WINDIR% könyvtárba másolja.
  • Az alábbi üzenet jelenik meg:

  • A vírus létrehoz egy registry-kulcsot, amely biztosítja a féreg betöltődését minden rendszerinduláskor:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    "PC-Config32" = C:\%WINDIR%\corona.exe -A
  • Megváltoztatja az alapértelmezett böngésző-címet:

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
    "Start Page" = http://www.who.int/csr/don/2003_04_19/en
  • Megkeresi a "C:\My Downloads" mappát és egy példányát az alábbi fájlnevek valamelyikén odamásolja:
    • Cossacks Full Version.exe
    • Cossacks Full Version.exe
    • Battlefield 1942 (full).exe
    • Warcraft III Full.exe
    • Jedi Knight II.exe
    • Quake 3 Full Version.exe
    • Starcraft full.exe
    • Doom 3.exe
    • Tribes 2 (full).exe
    • Rainbow 6 Full.exe
    • Oni full.exe
    • White and Black.exe
    • Return to Castle Wolfenstien (Full).exe
    • Command & Conquer: Generals.exe
    • Black HawkDown (full).exe
    • The Sims: Unleashed.exe
    • Age Of Mythology.exe
    • Dark Age of Camelot.exe
    • Ultima Online.exe
    • The Lord of the Rings.exe
    • Medel of Honor: Allied Assualt.exe
    • Grand Theft Auto 3 (full).exe
    • Unreal 2: The Awakening (full).exe
    • Unreal.exe
    • Master Of Orion.exe

Fontos: a vírus fenti másolatainak mérete nem állandó, mert a fájlok végére "szemetet", szükségtelen adatokat fűz. Emellett nulla bájt hosszúságú üres fájlokat hagyhat abban a könyvtárban, amelyből először elindították.

  • Továbbküldi magát a Windows címjegyzékben szereplő címekre. A levelezéshez saját SMTP rutinját használja.
 
  A PiK-SYS Kft. által készített dokumentációk és információs anyagok szerzői jogi védelem alatt állnak. (C) PiK-SYS Kft., 2003.