Tápiómenti levelezőlista archívum
  2025.04.19
 LEO archívum 
 MCSE 
 levelezőlisták 
Dátum: 2002-11-25 14:16:43
Feladó: Hevesi Zoltán
Tárgy: Figyeljetek erre a virusra
# Részletes információk a W32.HLLW.Winevar wormről 2002.11.25. 11:40

Nemrég adtunk hírt a legmagasabb veszélyességi besorolást kapott
W32.HLLW.Winevar-ről, most részletesen információkat találhat nálunk az
Olvasó.
Mikor a worm először indul el, megpróbálja leállítani az ismert antivírus és
tűzfal programokat. Ehhez megkeresi a futó szolgáltatásokat, processzeket,
és kilövi őket, amennyiben a nevük tartalmazza az alábbi sztringet:

view
debu
scan
mon
vir
iom
ice
anti
fir
prot
secu
dbg
avk
pcc
spy

Kivéve, ha a következők közül valamelyik szerepel a nevükben:

microsoft
ms
_np
r n
cicer
irmon
smtpsvc
moniker
office
program
explorewclass
Ezután a worm a registry-t veszi kezelésbe: Windows 9x/Me alatt a
magát, az érték vagy az alapértelmezett lesz, vagy WIN[néhány egyéb
karakter]. Az adat: WIN[néhány egyéb karakter].PIF. Minden platformon beírja
magát a HKLM\Software\Microsoft\Windows\CurrentVersion\Run és
már előbb említett lesz. A worm minden egyes futásakor új bejegyzéseket ad a
registry-hez.

A módosítások elvégzése után a %system% mappába másolja magát a WIN[néhány
egyéb karakter].PIF néven, majd az aktuális időt milliszekundumokban
paraméterként megadva futtatja ezt a fájlt. Mikor a worm második (futó)
példánya átveszi az irányítást, megnézi az indítása után eltelt időt. Ha
több, mint 512 milliszekundum telt el, megjeleníti az alábbi üzenetet, majd
aktiválja a romboló rutint:

Az antivírus és tűzfal programokat másodpercenként megpróbálja leállítani,
és minden fájlt minden alkönyvtárból töröl arról a meghajtóról, ahonnan a
wormöt indították.

Ha nem aktiválódik a romboló rutin, a vírus megpróbálja létrehozni a "~~
Drone of StarCraft~~" nevű mutexet. Továbbá ha nincs aktív internetkapcsolat
(a worm megpróbálja lehívni a www.symantec.com honlapot), akkor telepíti a
W32.Funlove.4099 nevű vírust.
Amennyiben van élő internetkapcsolat, a worm lekérdezi a regisztrált
felhasználót és cégnevet a registry-ből. Ha a cégnév érték nem létezik, a
"Trand Microsoft Inc." nevet, ha a regisztrált felhasználó érték üres, az
"AntiVirus" nevet fogja használni.

Bemásolja magát a %desktop% mappába EXPLORER.PIF néven. Ha bármely mappa
neve tartalmazza a következő neveket, a worm a teljes tartalmával együtt
törli őket:

antivirus
cillin
nlab
vacc

A meghajtókat végigszkenneli .htm és .dbx fájlok után kutatva, ezekből nyeri
ki az e-mailcímeket. A "@microsoft." sztringet tartalmazó címeket ignorálja,
a többiből egy listát hoz létre, amit a HKCR\Software\Microsoft\DataFactory
kulcsban ment el. Ez a lista a worm minden indításakor törlődik, és új
keletkezik.

A vírus saját SMTP motorral rendelkezik, a fertőzött e-mail:
Feladó: [regisztrált felhasználó vagy "AntiVirus"] [címzett e-mail címe]
Címzett: [címzett e-mail címe]
Tárgy:
Re: AVAR(Association of Anti-Virus Asia Reseachers)

vagy

N`4?[registered organisation or "Trand Microsoft Inc."]

Üzenet:
AVAR(Association of Anti-Virus Asia Reseachers) - Report.
Invariably, Anti-Virus Program is very foolish.

vagy

[regisztrált felhasználó] - [cégnév]

Ha nem képes e-mailküldésre (vagy nem talált .htm vagy .dbx fájlokat, vagy
egyéb hiba miatt), akkor megjeleníti a fenti üzenetet.

Végül DoS támadást próbál indítani a www.symantec.com ellen a weblap minél
többszöri letöltésével.
A Symantec javaslata a vírus eltávolítására:

1. Szerezzük be a legfrissebb NAV vírus definíciós fájlt.
2. Indítsuk el a Norton AntiVirust, és futtassunk egy teljes rendszer
szkent.
3. Töröljük le a W32.HLLW.Winevar-nek vagy JS.Exception.Exploit-nak
azonosított fájlokat.
4. Töröljük ki a vírus által létrehozott registry bejegyzést.
Vissza
  
Index | Aktuális hónap (2025-04)