Latest Threats 28/09/03 W32.Galil.C@mm

Συζητήσεις και νέα σχετικά με την ασφάλεια των υπολογιστών και των virus που τους προσβάλουν...

Συντονιστές: Super-Moderators, Software & Hardware Moderators

Απάντηση
Άβαταρ μέλους
Expl0it
Honorary Member
Δημοσιεύσεις: 2364
Εγγραφή: 25 Αύγ 2003 23:24
Τοποθεσία: home/sweet/home

Latest Threats 28/09/03 W32.Galil.C@mm

Δημοσίευση από Expl0it » 30 Σεπ 2003 19:46

W32.Galil.C@mm

* Σημείωση : Οι πληροφορίες που δίνονται για τον καθαρισμό του ιού απο τον υπολογιστή σας,
είναι για προγράμματα αντιμετώπισης ιών της SYMANTEC


O W32.Galil.C@mm είναι ένα mass-mailing worm, που στέλνεται στις διευθύνσεις ηλεκτρονικού ταχυδρομείου που βρίσκει στα αρχεία που έχουν.htm. HTML. eml, και.txt επεκτάσεις. Το ηλεκτρονικό ταχυδρομείο θα έχει variable subject line και attachment name. Το αρχικό δείγμα που ελείφθει ένα αρχείο με επέκταση .SRC

Αυτό το worm στέλνεται σε όλες τις επαφές που υπάρχουν στο Microsoft Outlook Address Book και στο MSN Messenger. Επίσης προσπαθεί να διαδοθεί μέσω του δικτύου διανομής αρχείων KaZaA.

Αυτή η απειλή είναι γράμμένη σε Microsoft Visual Basic και είναι συμπιεσμένο με UPX.

Είδος : Worm

Λειτουργικά Συστήματα που έχουν μολυνθεί : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

Λειτουργικά Συστήματα που δεν έχουν μολυνθεί : DOS, Linux, Macintosh, OS/2, UNIX


ΤΕΧΝΙΚΕΣ ΛΕΠΤΟΜΕΡΙΕΣ

Όταν ο W32.Galil.C@mm τρέξει για πρώτη φορά στον υπολογιστή σας εκτελεί τις παρακάτω ενέργειες :

1 Αντιγράφεται ως %System%2.SYS.

2 Δημιουργεί τα ακόλουθα αρχεία:

%Temp%\Explore.exe
%Temp%\A.exe
%Temp%\SMTP.ocx

ΕΓΚΑΤΑΣΤΑΣΗ

A.exe είναι το installer του worm. Όταν τρέξει εκτελεί τις παρακάτω ενέργειες :

1 Αντιγράφεται στο φάκελο %System%\ ως τα παρακάτω αρχεία :

a.bat
a.com
a.exe
a.pif
a.scr
a.sys

2 Αντιγράφει το Explore.exe και το SMTP.ocx στο φάκελο %System%

3 Προσθέτει την τιμή :

"Explore"="%System%\explore.exe"

Στο Registry Key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Έτσι ώστε το worm να τρέχει κάθε φορά που ξεκινάτε τα Windows.


ΔΙΑΔΙΚΑΣΙΑ ΔΙΑΔΟΣΗΣ ΣΤΟΝ ΥΠΟΛΟΓΙΣΤΗ

Το αρχείο Explore.exe το στοιχείο που περιέχει την διαδικασία διάδοσης. Όταν τρέξει εκτελεί τα παρακάτω :

1 Προσθέτει την τιμή "a" στο Registry Key :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows

Το Worm χρησιμοποιεί αυτό το key δείκτη μόλυνσής του υπολογιστή !

2 Αλλάζει την αρχική σελίδα του Internet Explorer σε :
www.geocities.com/yori_mrakkadi."

3 Προσθέτει την τιμή "DeathTime" στο Registry Key :

HKEY_CURRENT_USER

Η τιμή αυξάνεται κατά 1 κάθε φορά που τρέχει ο Explorer. Όταν η τιμή φτάσει στα 30 το worm θέτει εκτός λειτουργίας το πληκτρολόγιο και το ποντίκι.

4 Βρίσκει το φάκελο που αποθήκευσης των αρχείων του KaZaA μέσα απο την registry.

5 Ψάχνει για αρχεία που έχουν επεκτάσεις .doc, .jpg, .mdb, .pps, .ram, .xls, ή .zip. Τότε αντιγράφει τo worm στον φάκελο αποθήκευσης των αρχείων του KaZaA χρησιμοποιόντας κάποια απο ονομασίες των αρχείων.

6 Ανακτά την παρούσα διεύθυνση ηλεκτρονικού ταχυδρομείου του χρήστη και την προκαθορίσμέμη μηχανή SMTP καθώς και τη διεύθυνση κεντρικών υπολογιστών IP.

7 Ανακτά τις διευθύνσεις ηλεκτρονικού ταχυδρομείου από τα αρχεία των οποίων οι επεκτάσεις είναι .htm .HTML .eml και .txt

8 Ανακτά τις διευθύνσεις ηλεκτρονικού ταχυδρομείου από το Outlook address book και από την λίστα επαφών του MSN messenger.

9 Χρησιμοποιεί το SMTP.ocx για να αυτοσταλεί στις διευθύνσεις ηλεκτρονικού ταχυδρομείου που βρίσκει. Το worm Χρησιμοποιεί το όνομα που προκείπτει απο το attachment.
το Θέμα του ηλεκτρονικού ταχυδρομείου έίναι ένα από τα παρακάτω :

Fw:
Re:
You gonna love it
Here is what u wanted
Check this out ;)
Enjoy!
This is all i can send
Have Fun :)
Wait for more :)
looool
Take a look
Never mind !
See the attatched file
gift :)
Surprise!
save it for hard times
Happy Times :)
Useful
Very funny
Try it
you have to see this!
emazing!

10 Κλέβει πληροφορίες του δικτύου και τις στέλνει σε ένα προκαθορισμένο email. Οι κλεμένες πληροφορίες περιέχουν τα εξής :

Το Host name του υπολογιστή.
Το Domain που είναι εγγεγραμμένος ο υπολογιστής.
Set of DNS servers IP address που χρησιμοποιεί ο υπολογιστής
DHCP server IP address που χρησιμοποιεί ο υπολογιστής

ΟΔΗΓΕΙΕΣ ΚΑΘΑΡΙΣΜΟΥ ΤΟΥ W32.Galil.C@mm ΑΠΟ ΤΟΝ ΥΠΟΛΟΓΙΣΤΗ ΣΑΣ

1) Θέστε εκτός λειτουργίας το System Restore (Windows Me/XP).
2) Κάντε Update τα virus definitions.
3) Επανεκινήστε τον υπολογιστή σε Safe Mode ή VGA Mode
4) Κάντε ένα Full system scan και διαγράψτε όλα τα αρχεία που θα εντοπισθούν ως W32.Galil.C@mm
5) Διαγράψτε την τιμή που προστέθηκε στην Registry

Για περισσότερες πληροφορίες σχετικά με τον W32.Galil.C@mm πατήστε ΕΔΩ


Filter

Εικόνα

Greek Web Angel

Απάντηση

Επιστροφή στο “Security, antiVirus & antiSpyWare”

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 0 επισκέπτες