Mellékleteink: HUP | Gamekapocs
Keres
Július 19-én SYSADMINDAY: egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket!

Gyorsan terjed az új email féreg: I-Worm.Sobig.b

Bodnár Ádám, 2003. május 19. 12:58
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

[Vírushíradó] 2003. május 18-án késő éjszaka és 19-én kora reggel az F-Secure cég több bejelentést kapott az I-Worm.Sobig.b (I-Worm.Palyh) nevű kártevőről. A féreg maga egy Windows PE EXE fájl, amelyet Microsoft Visual C++ -ben

hirdetés
[Vírushíradó] 2003. május 18-án késő éjszaka és 19-én kora reggel az F-Secure cég több bejelentést kapott az "I-Worm.Sobig.b" (I-Worm.Palyh) nevű kártevőről. A féreg maga egy Windows PE EXE fájl, amelyet Microsoft Visual C++ -ben írtak és UPX-el tömörítettek. A levél mellékletének mérete 49000 és 54000 byte között változik. Amikor tömörítetlen, a féreg kódja 110 kbyte hosszú.

A féreg csak akkor aktiválódik, ha a felhasználó a fertőzött levélmellékletre kattint. Ezután károkozó telepíti magát és megkezdi a továbbterjedést. A telepítés során a féreg a Windows könyvtárba másolja magát "msccn32.exe" néven, majd bejegyzi magát a regisztrációs adatbázisba.

Egy programhiba miatt a kártevő néha rossz könyvtárba készít másolatot magáról (a gyökérkönyvtárba vagy az épp aktuális könyvtárva). Ezekben az esetekben a féreg csak a következő újraindításig marad aktív. Hogy a fertőzött üzeneteket elküldje, a féreg maga kapcsolódik az alapértelmezett SMTP szerverhez. Összegyűjti az fellehető email címeket az összes könyvtárban és helyi lemezen lévő .TXT, .EML, .HTML, .HTM, .DBX, .WAB fájlokból.

A féreg több különféle típusú email üzenetet küld, azonban ezek mindegyike úgy néz ki, mintha a support@microsoft.com címről érkezne. A féreg a Windows könyvtárban egy "hnks.ini" nevű fájlt is létrehoz. Ez tartalmazza az összes email címet amelyet a féreg összegyűjtött. Ha a fertőzés már fennáll, akkor ezt a listát használva az érintettek figyelmeztethetőek.

A féreg felméri az összes elérhető hálózati erőforrást (a hálózatban található többi számítógépet) és ha lehetséges, megkísérli átmásolni magát az auto-start könyvtárukba. A kártevő négy weboldalról tölt le fájlokat, majd futtatja azokat. Ennek eredményeképp képes frissíteni önmagát vagy telepíteni más alkalmazásokat, mint például trójai programokat.

A féreg csak 2003. május 31-ig fog szaporodni. Ezután már nem próbál meg más számítógépekre továbbterjedni, de továbbra is megpróbál majd letölteni és futtatni egyéb programkódokat. Az idő a helyi rendszeridőn alapul, így néhány gép tovább folytathatja a fertőzött levelek küldését, még május vége után is.

Facebook
Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
A IT-üzemeltetők világnapján egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket az Ankertbe.