Fałszywy WGA

Gregg - Monday, 03 July 2006, 20:04

Specjaliści od zabezpieczeń odkryli nowy rodzaj robaka, który podszywa się pod program firmy Microsoft wykrywający nielicencjonowane kopie systemu. O nowej wersji narzędzia MS WGA informowaliśmy kilka dni temu.


Ten złosliwy program rozsyła się za pomocą komunikatora Instant Messenger firmy AOL. Specjaliści z firmy Sophos, zajmujacej się bezpieczeństwem systemów komputerowych, ochrzcili go mianem W32.Cuebot-K, ponieważ stanowi wariację rodziny Cuebot.

Po zainstalowaniu się, robak natychmiast nawiązuje połączenie z dwiema witrynami w sieci i próbuje pobrać inne niepożądane programy, przeprowadza podstawowe ataki DDOS (distributed denial of service), skanuje lokalne dyski. Potrafi neutralizować zabezpieczenia i wyłączać zaporę internetową Windows.

Robak, który rozsyła się za pomocą komunikatorów, często pojawia się jako wiadomość w postaci adresu internetowego, spreparowana tak, że wygląda jakby pochodziła od jednego ze znajomych z listy kontaktów.

Robak rozsyła się w postaci pliku "wgavn.exe". Usadawia się w systemie rejestrując jako sterownik nowego urządzenia pod nazwą "wgavn". Gdy zaś zostanie przywołana lista uruchomionych usług, zgłasza się jako "Windows Genuine Advantage Validation Notification". Cuebot-K tworzy w rejestrze klucz HKLM\SYSTEM\CurrentControlSet\Services\wgavn\.

Źródło: Info World
«
»

Tagi:

Komentarze (0)
  1. Kordian pisze:
    3 lipca 2006 o 22:04

    Pijawi³ siê nowy rodzaj ¶miecia w GG Trojan.ByteVerify (SAV CE 10)
    Przyk³adowa wiadomo¶æ w GG:

    1. "hejka! co tam u ciebie nowego sie dzieje?"
    2. jaka¶ odpowied¼ atakowanej osoby
    3. "twoje fotki z telefonu komorkowego sa tutaj
    http://www.gsmfoto.h2o.pl/?operator_id=740045"

    Nie wchodzcie na ten adres no chyba ze chcecie miec trojana w systemie 🙂

  2. Damador pisze:
    3 lipca 2006 o 23:44

    http://www.viruslist.com/en/search?VN=Constructor.Perl.Msdds.b&referer=kav

  3. Igloo pisze:
    4 lipca 2006 o 7:04

    @Kordian
    Prawdê powiedziawszy na takie co¶ to tylko skoñczony idiota bez grama wyobra¼ni i to pod warunkiem, ¿e u¿ywa IE.
    Ja tam wszystkie takie "pogaduchy" ignorujê a jak mam z³y humor to zwyzywam nadawcê od najgorszych i jeszcze piszê skargê do zarz±du GG.

  4. pietro_asp pisze:
    4 lipca 2006 o 10:34

    Ja mam wiadomosci tylko od znajomych i wiem ze nikt mi takiej swini nie podlozy:D

  5. Kordian pisze:
    4 lipca 2006 o 12:24

    @Igloo
    Ja te¿ robie tak samo i tez nie nie mam IE ale troszke osob robi troszke inaczej wiec zapobiegliwie ostrzegam tylko 😉

Uprzejmie prosimy o przestrzeganie netykiety przy dodawaniu komentarzy. Redakcja CDRinfo.pl nie odpowiada za treść komentarzy, które publikują użytkownicy. Aby zmienic swoj avatar zarejestruj sie w serwisie www.gravatar.com.