Válassza az Oldal lehetőséget

World of Warcraft vírus

Írta: | 2007. márc 07. | | 0 |

A Wowlook féreg elsősorban a World of Warcraft felhasználóit igyekszik megtéveszteni, és elektronikus levelek útján minél több számítógépet megfertőzni.

A Wowlook féreg a World of Warcraft állományához kapcsolódik, és e mögé rejtőzve próbálja elvégezni a kártékony műveleteit. A féreg összegyűjti a kiszemelt számítógépekről az e-mail címeket, majd azokra továbbküldi saját magát.

World of Warcraft vírus

A Wowlook féreg legfőbb veszélye, hogy különböző felhasználói fiókokhoz, illetve szolgáltatásokhoz tartozó felhasználóneveket és jelszavakat gyűjt össze, amelyeket egy távoli szerverre továbbít. Ezt követően megfertőz minden olyan állományt, amelyek html kódokat tartalmaznak, és ezekhez egy kártékony weboldalra mutató hivatkozást fűz hozzá.

Amikor a Wowlook féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%System%\SetupV9.exe
%System%\Srvpl0.dll

2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\policies\Explorer\Run”1″ = “rundll32.exe Srvpl0.dll,start WinLogon.exe”

3. Felülírja a wow.exe állományt.

4. Felhasználóneveket és jelszavakat gyűjt össze egy %System%\KBOutLook.log nevű fájlba.

5. E-mail címeket gyűjt össze a Windows címjegyzékéből. A címeket egy KBOutLook.log nevű állományba menti el.

6. Az összegyűjtött e-mail címekre továbbküldi saját magát.

A fertőzött levelek tárgya lehet:
Hi,I just get some imformation of the Blizzard Entertainment,pls kindly check in the attachment.
That souds best for us.
Chinese test missile obliterates satellite!

A fertőzött levelek mellékletéhez tartozó fájl neve lehet: SetupV9.zip

7. Az Outlook Express alkalmazáshoz tartozó – regisztrációs adatbázisban szereplő – bejegyzéseket módosítja az alábbiak szerint:
“Safe Attachments” = “0”
“Warn on Mapi Send” = “0”
“Launch Inbox” = “0”

8. A regisztrációs adatbázisban módosítja a következő bejegyzéseket:
HKEY_CURRENT_USER\Identities\[UNIQUE CURRENT USER SUBKEY]\Software\Microsoft\Outlook Express\5.0\Mail
HKEY_CURRENT_USER\Identities\[UNIQUE CURRENT USER SUBKEY]\Software\Microsoft\Outlook Express\6.0\Mail
HKEY_CURRENT_USER\Identities\[UNIQUE CURRENT USER SUBKEY]\Software\Microsoft\Outlook Express\7.0\Mail

9. Egy hivatkozást fűz hozzá a helyi számítógépen található asp, htm, html, jsp és php kiterjesztésű állományokhoz.

10. Az összegyűjtött adatokat elküldi egy távoli szerverre. Az esetleges hibákat naplózza.

Olvasva: 2 363

Mérték:

A szerzőről

Csingacsguk

Kapcsolódó hozzászólások

Jolicloud – új versenyző az operációs rendszerek között

Jolicloud – új versenyző az operációs rendszerek között

2009-01-27

Máris elkészült az Opera 11.60 (Tunny) béta kiadása

Máris elkészült az Opera 11.60 (Tunny) béta kiadása

2011-11-10

Dátumot kapott a Windows 10 tavaszi frissítése

Dátumot kapott a Windows 10 tavaszi frissítése

2018-04-27

Biztonsági szoftvereket hatástalanít a Pintae féreg

Biztonsági szoftvereket hatástalanít a Pintae féreg

2006-11-14

banner

BuyBestGear

Hirdetés

ranvee

Ranvee háztartási gépek