Összefoglaló
Worm:Win32/Vobfus.VY a Win32/Vobfus családjába tartozó féreg ami cserélhető illetve hálózati meghajtókon terjeszkedik, képes letölteni és futtattni tetszőleges fájlokat.
Leírás
Létrehozza a következő állományokat:
- c:documents and settingsadministratorpasswords.exe
- c:documents and settingsadministratorporn.exe
- c:documents and settingsadministratorsecret.exe
- c:documents and settingsadministratorsexy.exe
- c:documents and settingsadministratorwuaobah.exe
- c:documents and settingsadministratorcpasswords.exe
- c:documents and settingsadministratorcporn.exe
- c:documents and settingsadministratorcsecret.exe
- c:documents and settingsadministratorcsexy.exe
- c:documents and settingsadministratorrcx10.tmp
- c:documents and settingsadministratorrcx11.tmp
- c:documents and settingsadministratorrcx12.tmp
- c:documents and settingsadministratorrcx13.tmp
- c:documents and settingsadministratorrcx14.tmp
- c:documents and settingsadministratorrcx15.tmp
- c:documents and settingsadministratorrcx16.tmp
- c:documents and settingsadministratorrcx17.tmp
- c:documents and settingsadministratorrcx18.tmp
- c:documents and settingsadministratorrcx19.tmp
- c:documents and settingsadministratorrcx1a.tmp
- c:documents and settingsadministratorrcx1b.tmp
- c:documents and settingsadministratorrcx1c.tmp
- c:documents and settingsadministratorrcx1d.tmp
- c:documents and settingsadministratorrcx1e.tmp
- c:documents and settingsadministratorrcx1f.tmp
- c:documents and settingsadministratorrcx20.tmp
- c:documents and settingsadministratorrcx21.tmp
- c:documents and settingsadministratorrcx22.tmp
- c:documents and settingsadministratorrcx23.tmp
Cserélhető, illetve hálózati meghajtókra másol fájlokat az alábbiak szerint:
- <targeted drive>:passwords.exe
- <targeted drive>:porn.exe
- <targeted drive>:secret.exe
- <targeted drive>:sexy.exe
- <targeted drive>:subst.exe
- <targeted drive>:wuaobah.exe
A fertőzött meghajtók gyökérkönytárában létrehoz egy autorun.inf fájlt, ami lehetővé teszi, hogy csatlakozáskor felhasználói beavatkozás nélkül tudjon elindulni.
Csatlakozik ns1.dateback1.com szerverhez a 7001 porton keresztül:
- Jelentést tesz az új fertőzésről
- Konfigurációs és egyéb adatok tölt le
- További kártékony szoftvert tölt le
- További utasításokat vár egy távoli személytől
- Adatokat tölt fel a számítógépről
Megoldás
IsmeretlenMegoldás
Naprakész vírusító telepítése.
Támadás típusa
Other (Egyéb)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
Gyártói referencia: www.microsoft.com