Virus verspreidt zich op afstand

De worm, Maniccum genaamd, probeert geselecteerde computers voornamelijk te infecteren via de instant messaging-diensten van MSN Messenger.

Maniccum heeft een aantal functies die aanvallers helpen de worm te controleren via IRC door middel van verschillende commando's. De worm kan toegang krijgen tot bestanden die zijn opgeslagen op de geïnfecteerde computer, een HTTP-server starten of denial of service (DoS)-aanvallen initiëren. Ze kunnen de worm ook controleren, bijwerken of verwijderen van hun systemen.

Een extra bedreiging van Maniccum is dat het bepaalde beveiligingstoepassingen op computers verlamt en ook voorkomt dat antivirussoftware automatisch start.

Wanneer Maniccum start, voert het de volgende acties uit:

1. Kopieer zichzelf naar de Windows-systeemmap als [willekeurige tekens] .exe.

2. De registratiedatabase
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Huidige versie
\ RunServices
voegt toe aan je sleutels
"Mxb2" = "[willekeurige tekens] .exe".

3. De volgende gegevens worden verwijderd uit de registratiedatabank:
HKEY_LOCAL_MACHINE \ SOFTWARE \\ Microsoft \\ Windows \\ Huidige versie \ Uitvoeren
CcApp
HKEY_LOCAL_MACHINE \ SOFTWARE \\ Microsoft \\ Windows \\ Huidige versie \ Uitvoeren
"KAV50"
HKEY_LOCAL_MACHINE \ SOFTWARE \\ Microsoft \\ Windows \\ Huidige versie \ Uitvoeren
McAfee Guardian
HKEY_LOCAL_MACHINE \ SOFTWARE \\ Microsoft \\ Windows \\ Huidige versie \ Uitvoeren
McAfee.InstantUpdate.Monitor
HKEY_LOCAL_MACHINE \ SOFTWARE \\ Microsoft \\ Windows \\ Huidige versie \ Uitvoeren
“KAVPersoonlijk50”
HKEY_LOCAL_MACHINE \ SOFTWARE \\ Microsoft \\ Windows \\ Huidige versie \ Uitvoeren
"Avg7_emc"
HKEY_LOCAL_MACHINE \ SOFTWARE \\ Microsoft \\ Windows \\ Huidige versie \ Uitvoeren
"Gem7_cc"
HKEY_LOCAL_MACHINE \ SOFTWARE \\ Microsoft \\ Windows \\ Huidige versie \ Uitvoeren
"Nod32kui"
HKEY_LOCAL_MACHINE \ SOFTWARE \\ Microsoft \\ Windows \\ Huidige versie \ Uitvoeren
"BDOESRV"

4. Wijzig de registratiedatabase
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess
\ Parameters \ FirewallPolicy \ StandardProfile
HKEY_LOCAL_MACHINE \ SOFTWARE \ Beleid \ Microsoft \ Windows Firewall
\ Domeinprofiel
inbegrepen in de sleutel
"EnableFirewall" = "0".

5, Sluit vensters met de volgende woorden in de titelbalk:
NORTON
VIRUS
FIREWALL
SCAN
VEILIGHEID
NETSTAT
WINDOWS TAAKBEHEER
DE ETHERISCHE NETWERKANALYZER
REGISTRATIE-EDITOR
SYSTEEM CONFIGURATIE HULPPROGRAMMA

6. Maak verbinding met een IRC-server via TCP-poort 5190 en wacht tot de commando's van de aanvaller de volgende acties uitvoeren:
- toegang tot lokale bestanden
- mappen maken
- wormupdate
- HTTP-server starten
- DoS-aanvallen starten
- wormen verwijderen.

Lezing: 1

benadrukte

BlitzHome BH-CDW1, de slimme, draagbare desktopvaatwasser, is weer in de aanbieding

benadrukte

BLITZWILL BWL-FL-0001 - Opzichtige vloerlamp met 10 korting

Nog meer SM-OLT9 - we voegen vleugels toe aan onze lampen

Beide BlitzWill plafondlampen zijn deze week in de aanbieding

BlitzWolf BW-SX31 draadloze microfoon voor een Black Friday-prijs

benadrukte

Is dit een grap? Xiaomi zelfledigende robotstofzuiger voor HUF 93?

benadrukte

XIAOMI AtuMan DUKA E2 - budgetvriendelijke elektrische schroevendraaier

Xiaomi-verkoop voor slimme huizen

Xiaomi Redmi AX5400 - nog een nieuwe WiFi 6-router van Xiaomi

Xiaomi Redmi AX6000 - nieuwe WiFi 6-router van Xiaomi

Een op afstand bestuurd virus verspreidt zich

Over de auteur

aanhangers

KoopBestGear

ranvee

G6.hu

benadrukte

BlitzHome BH-CDW1, de slimme, draagbare desktopvaatwasser, is weer in de aanbieding

benadrukte

BLITZWILL BWL-FL-0001 - Opzichtige vloerlamp met 10 korting

benadrukte

Is dit een grap? Xiaomi zelfledigende robotstofzuiger voor HUF 93?

benadrukte

XIAOMI AtuMan DUKA E2 - budgetvriendelijke elektrische schroevendraaier

Een op afstand bestuurd virus verspreidt zich

Over de auteur

gerelateerde berichten

KoopBestGear

ranvee