W32.Amirecivel.B: Sâu khoá trang bảo mật

Thứ tư, 10 Tháng năm 2006, 15:51 GMT+7
  • W32AmirecivelB Sau khoa trang bao mat

    W32.Amirecivel.B là loại sâu cố gắng lan tràn thông qua mạng chia sẻ file Kazaa và làm mất đi những trang liên quan tới bảo mật trên máy tính người dùng.

    Loại: Sâu

    Độ dài đoạn lây nhiễm: 22,845 byte

    HĐH lây nhiễm:

    Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

    Khi W32.Amirecivel.B lây nhiễm vào máy tính, nó sẽ thực thi các bước sau:

    Tự copy như là một trong những file sau:

    • %System%AVG.exe
    • %System%spoolsx.exe
    • %System%servise64.exe
    • %System%winlogon64.exe
    • %System%lssass.exe
    • %System%autocad.exe
    • %System%civil.exe
    • %System%project.exe

    Lưu ý: %System% là biến chỉ tới thư mục System, mặc định là C:WindowsSystem (Windows 95/98/Me), C:WinntSystem32 (Windows NT/2000), hay C:WindowsSystem32 (Windows XP).

    Tự copy như những file sau

    • C:Program FilesKazaaMy Shared FolderCIVIL.exe
    • C:Program FilesKazaaMy Shared Folder orton.cmd
    • C:Program FilesKazaaMy Shared Folderp2p.pic.scr
    • D:amir_civil.cmd D:Program FilesKazaaMy Shared Folderiran.pic.pif
    • D:SCREEN_SAVER.scr
    • D:SCREEN_SAVER2.scr
    • E:02.pic.pif
    • E:amir_civil.scr
    • E:cool.pic.scr
    • E:winx32.pif
    • F:amir_civil3.scr
    • F:iran.scr
    • F:iran_02.scr
    • G:amir_civil.cmd
    • G:anti_virus(norton).doc.cmd

    Tìm kiếm tất cả những thư mục và những thư mục phụ trong ổ C. Nếu tìm thấy bất kỳ thư mục nào có chứa “r” trong đường dẫn, nó sẽ tự sao lưu tới những thư mục đó như những file sau:

    • screensaver.scr
    • anti_blaster.exe
    • soleimany.exe
    • lssass.exe
    • http://www.amircivil.com.exe
    • amir_civil.com
    • 651.pif
    • report.pif
    • visualbasic.proj.exe
    • ZONALM2601.EXE
    • TFAK5.EXE
    • PF2.EXE
    • p2p.exe
    • DRWEBUPW.EXE
    • OSTRONET.EXE
    • BLACKICE.EXE
    • ANTS.pif
    • NISUM.EXE
    • CFGWIZ.cmd
    • IPARMOR.EXE
    • IAMSERV.EXE
    • FRW.EXE
    • update.exe
    • AVPUPD.EXE
    • ESCANH95.EXE
    • ENT.EXE
    • DPF.EXE
    • DEPUTY.EXE
    • NORTON.EXE
    • avg.bat
    • AVprotect9x.pif
    • LOCKDOWN.cmd
    • NTVDM.pif
    • NPFMESSENGER.bat
    • NMAIN.cmd
    • amir-civil.bat
    • amir-hossein.pic.scr
    • menu.pif
    • civil.bat
    • project.exe

    Thêm giá trị


    "amircivil" = "%System%[FILE NAME].exe"

    vào khóa phụ registry:

    HKEY_CURRENT_USERSoftwareMicrosoftWindows
    CurrentVersionRun

    do vậy nó sẽ chạy mỗi khi Windows khởi động Tạo khóa phụ registry sau:

    HKEY_CURRENT_USERSoftwareMicrosoftWindows
    CurrentVersionamir_civil

    Che giấu tất cả những cửa sổ có tên sau, một vài cửa sổ trong số đó liên quan đến chương trình chống virus. :

    • NAVAP Wnd Class
    • MGHTML_DLG_CLASS
    • #32770
    • ConsoleWindowClass
    • RegEdit_RegEdit

    Tạo ra một file chủ được sửa chữa trong %CurrentFolder%, có chứa text sau:

    • 127.0.0.1 http://www.microsoft.com
    • 127.0.0.1 http://www.AMIR-CIVIL.com
    • 127.0.0.1 http://www.siegenia-aubi.com
    • 127.0.0.1 http://www.insel-ruegen-hotel.de
    • 127.0.0.1 http://vg.xtonne.de
    • 127.0.0.1 http://www.xlxx.com
    • 127.0.0.1 http://www.xxx.com
    • 127.0.0.1 http://www.xnxx.com
    • 127.0.0.1 http://yahoo.com
    • 127.0.0.1 http://www.yahoo.com
    • 127.0.0.1 http://f-secure.com
    • 127.0.0.1 http://www.f-secure.com
    • 127.0.0.1 http://google.com
    • 127.0.0.1 http://www.google.com
    • 127.0.0.1 http://www.russische-botschaft.de
    • 127.0.0.1 http://www.autoscout24.de
    • 127.0.0.1 http://www.heise.de
    • 127.0.0.1 http://www.degruyter.de
    • 127.0.0.1 http://sopho.de
    • 127.0.0.1 http://www.sopho.com
    • 127.0.0.1 http://symantec.com
    • 127.0.0.1 http://www.symantec.com
    • 127.0.0.1 http://www.leipziger-messe.de
    • 127.0.0.1 http://www.spiegel.de

    Lưu ý: Những file này sẽ không ảnh hưởng gì đến các chương trình chạy từ khi sâu này định dạng vị trí những file chủ, đó là %System%driversetchosts. Nếu điều này xảy ra, tất cả những truy cập vào trang web trên đều sẽ bị khóa.

    Cố gắng xóa những file có đuôi .dll trong %CurrentFolder%.

    (Biên dịch)
    Việt Báo
    Ý kiến bạn đọc

    Viết phản hồi

    Nhận xét tin W32.Amirecivel.B: Sâu khoá trang bảo mật

    Bạn có thể gửi nhận xét, góp ý hay liên hệ về bài viết W32.Amirecivel.B: Sâu khoá trang bảo mật bằng cách gửi thư điện tử tới vietbao.vn. Xin bao gồm tên bài viết W32AmirecivelB Sau khoa trang bao mat ở dạng tiếng Việt không dấu. Hoặc W32.Amirecivel.B: Sâu khoá trang bảo mật ở dạng có dấu. Bài viết trong chuyên đề Bảo Mật của chuyên mục Công Nghệ.

    Bài viết mới:

    Các bài viết khác:

       TIẾP THEO >>
    VIỆT BÁO - CÔNG NGHỆ - BẢO MẬT