Вирусите през март

Категория: Интернет
неделя, 10 Февруари 2002 0:00ч
W32/Fbound.C е 12 288-байтов червей, написан на Assembler, който се разпространява бързо чрез самоизпращане до адресната книга на атакувания компютър. Най-забележимата характеристика на този вирус е способността му да се разпространява чрез e-mail, без дори да се е копирал на твърдия диск на инфектирания компютър, тъй като той установява директна връзка с e-mail сървъра, конфигуриран в компютъра. Този червей използва API функция в Wsock32.DLL library, за да комуникира с потребителския e-mail сървър. Освен това той няма нужда да се копира на твърдия диск, за да се самоизпраща, тъй като използва memory-mapped files technology. Това може да е причината червеят да не се разпространява правилно в някои от случаите.
Червеят се самоизпраща до всички контакти от адресната книга на MS-Outlook Express (WAB файл). Изпратеното съобщение има следните характеристики:
Subject: Important (ако червеят определи, че получателят на съобщението има японски e-mail адрес, тоест последните три знака от e-mail адреса са .jp, subject на съобщението ще съдържа японски текст, избран случайно от 17 възможни комбинации. За да създаде случайния японски subject, червеят си служи с малко познатата rdtsc Pentium команда).
Тяло на съобщението: Няма
Прикрепен файл: PATCH.EXE
Червеят няма да се самоизпрати, ако MS-Outlook Express не е инсталиран на засегнатия компютър или ако адресната книга (WAB файл) е празна.
За да си подсигури самоизпращане, W32/Fbound.C се сдобива със следната информация за ключовете в Windows Registry:
Местонахождение на адресната книга -> от ключ HKCUSoftwareMicrosoft
WABWAB4Wab File Name
Потребителски акаунт -> от ключове HKCUSoftwareMicrosoftInternet Account ManagerDefault Mail Account и HKCUSoftwareMicrosoftInternet Account ManagerAccountsSMTP Email Address
SMTP сървър, за да се свърже -> от ключ HKCUSoftwareMicrosoftInternet Account ManagerAccountsSMTP Server.
Червеят не създава нито един файл на атакуваните компютри. Той се самоизпраща, свързвайки се директно към mail сървър. За да направи това, вирусът отваря комуникационна сесия през порт 25, вместо да използва функциите на Oultlook.

Коментари

Добави коментар

Име:

Коментар:


Продукти
Един шикозен лаптоп за малкия бизнес
Един шикозен лаптоп за малкия бизнес

Последни новини
Autodesk с дистрибуторски канал в България чрез PolyComp
 
Нови директори в Globul
 
Започна DevReach 2008
 
Забавен ръст на продажбите на телефони през следващата година
 
М-Тел е бета-тестер на нов продукт на Oracle
 
Битка с темпото на промяната
 
SAP World Tour в България
 
Цените за терминиране да се намалят с 40 процента настоява БТК
 
Компютри заменят учебниците в Торино
 
До момента във WOO Network са купени 446 животни



Най-четени
Брюксел иска промени в достъпа до широколентовия интернет
 
iPhone 3G - технологично приспособление на годината
 
Big Brother ви наблюдава – Wi-Fi уеб камера от Linksys
 
Спират БТВ по кабела
 
Microsoft прави вътрешен тест на Windows 7
 
e-mail за деца въвеждат Az-Deteto.com и Dir.bg
 
Община Търговище цифровизира вътрешните си процеси
 
Стратегията ни е да се разраснем на европейския пазар
 
"М-Тел Партньори" насърчава предприемчивите и франчайзинг принципа
 
Китайският GPS навигатор NPC-L507 слага конкурентите в джоба си