Fanbot.H

Az Ön böngészőjében nincs engedélyezve a sütik (cookies) használata. A honlap teljes értékű használatához kérjük, engedélyezze használatukat böngészőjében!

Létrehozva: 2007-11-06, 16:36:04

Utolsó frissítés: 2009-11-09, 17:20:18

Platform: Win32

Típus: trójai

Méret: 44032

Dátum: 2005-10-16

Tömörítő: NSPack

Veszélyeztetett operációs rendszer(ek): Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows Server 2003, Windows XP

Nem veszélyeztetett operációs rendszer(ek): Windows 3.xx, DOS, Linux, Unix, Solaris, MacOS, Mac OS X, OS2

Elnevezések:

A különböző vírusvédelmek az egyes vírusokat, férgeket eltérő névvel illethetik. Előfordulhat, hogy egy vírusvédelmi rendszer egy adott károkozó program különböző példányait különböző neveken azonosítja, de az is elképzelhető, hogy különböző vírusokat, férgeket illet azonos néven. Az alábbi lista tájékoztató jelleggel mutatja a legelterjedtebb vírusvédelmek elnevezését, mely természetesen még az adott vírusvédelmi rendszer különböző verziója esetén is más és más lehet.

A Win32/Fanbot.H trójai elnevezései az egyes vírusvédelmek szerint:

vírusvédelem	elnevezés
Avast	Win32:Fanbot-C
AVG	I-Worm/Mytob.ABC
BitDefender	Win32.Worm.Phantom.A
e-Trust	Win32/Fanbot.C
F-PROT	W32/Mytob.NJ@mm
F-Secure	Email-Worm.Win32.Fanbot.j
Ikarus	Backdoor.Win32.Delf.MS
Kaspersky	Email-Worm.Win32.Fanbot.j

vírusvédelem	elnevezés
McAfee	W32/Mytob.gen@MM(Virus)
Microsoft	Win32/Mytob.KH@mm
NOD32 (ESET)	Win32/Fanbot.H
Panda	W32/Fanbot.A.worm
Rising Antivirus	Worm.Mail.Fanbot.l
Sophos	W32/Fanbot-H
Trend Micro	WORM_FANBOT.A
VirusBuster	I-Worm.Mytob.MT

szervezet	elnevezés
Wildlist	W32/Mytob!ITW#327

Telepítés:

Egyes vírusok, férgek a telepítést megelőzően, illetve a telepítés során, esetleg a számítógép sikeres megfertőzését követő első újraindítás alkalmával valamilyen látványos tevékenységet végeznek. Ennek a célja - azon kívül, hogy felhívják magukra a figyelmet - az, hogy az felhasználói interaktívitással (egy billentyűlenyomás vagy egérkattintás) megnehezítsék a kártékony kód automatikus feldolgozását virtuális környezetben.

A trójai a saját kódjának telepítése során az alábbi ablako(ka)t jeleníti meg a képernyőn:

Az interneten vagy lokális hálózaton terjedő kártevők elsődleges célja, hogy egy másik számítógépet fertőzzenek meg. A megtámadott számítógép működésébe, annak operációs rendszerébe általában úgy épülnek be, hogy az egy esetleges újraindítást (boot-olást) követően is aktivízálja a kártevő kódját. Ezt általában úgy érik el, hogy a kártevő kódját tartalmazó fájl(oka)t hoznak létre vagy meglévő fájl(oka)t módosítanak, illetve beállítanak néhány bejegyzést a rendszerleíró adatbázisban, ami arra utasítja az induló operációs rendszert, hogy a frissen elhelyezett kártékony kódot is el kell indítani. Emellett - nem közvetlenül az újraindítás érdekében - más területeken (könyvtárakban) is létrehoznak magukból másolatot. Ennek kettős célja van: Egyrészt egy esetleges vírusirtást követően egy eldugott helyen megmaradhatnak a fertőzött állományok, másrészt helyi hálózatokban, megosztott könyvtárakban, peer-to-peer hálózatokban is képes terjedni. Kihasználhatják továbbá a Windows alapértelmezés szerinti beállítását is, miszerint egy létrehozott AUTORUN.INF nevű fájllal el lehet érni, hogy egy meghajtó megnyitásakor is aktivizálódjon a kártékony kód.

A Win32/Fanbot.H trójai a Windows System32 mappájában (alapértelmezés szerint C:\Windows\System32) létrehozza a(z) remote.exe nevű fájlt.

A Win32/Fanbot.H trójai a megosztott mappákban létrehozza az alábbi fájlokat:

'K.jpg.pif
1001 Sex and more.rtf.exe
3D Studio Max 6 3dsmax.exe
ACDSee 10.exe
AcrobatReader_New.exe
teljes lista...

'K.jpg.pif
1001 Sex and more.rtf.exe
3D Studio Max 6 3dsmax.exe
ACDSee 10.exe
AcrobatReader_New.exe
Adobe Photoshop 10 crack.exe
Adobe Photoshop 10 full.exe
Adobe Premiere 10.exe
Ahead Nero 8.exe
Altkins Diet.doc.exe
American Idol.doc.exe
Arnold Schwarzenegger.jpg.exe
Best Matrix Screensaver new.scr
Bifrost.scr
BlackIce_Firewall_Enterpriseactivation_Crack.exe
Britney Spears Sexy archive.doc.exe
Britney Spears Song text archive.doc.exe
Britney Spears and Eminem porn.jpg.exe
Britney Spears blowjob.jpg.exe
Britney Spears cumshot.jpg.exe
Britney Spears fuck.jpg.exe
Britney Spears full album.mp3.exe
Britney Spears porn.jpg.exe
Britney Spears.jpg.exe
Britney Spears.mp3.exe
Britney sex xxx.jpg.exe
Butterfly.scr
Clone DVD 6.exe
Cloning.doc.exe
Cracks & Warez Archiv.exe
Dark Angels new.pif
Dictionary English 2004 - France.doc.exe
DivX 8.0 final.exe
Doom 3 release 2.exe
E-Book Archive2.rtf.exe
Eminem Poster.jpg.exe
Eminem Sexy archive.doc.exe
Eminem Song text archive.doc.exe
Eminem Spears porn.jpg.exe
Eminem blowjob.jpg.exe
Eminem full album.mp3.exe
Eminem sex xxx.jpg.exe
Eminem.mp3.exe
Full album all.mp3.pif
Gimp 1.8 Full with Key.exe
Harry Potter 1-6 book.txt.exe
Harry Potter 5.mpg.exe
Harry Potter all e.book.doc.exe
Harry Potter e book.doc.exe
Harry Potter game.exe
Harry Potter.doc.exe
How to hack new.doc.exe
Internet Explorer 9 setup.exe
Kazaa Lite 4.0 new.exe
Kazaa new.exe
Keygen 4 all new.exe
Kula.jpg.pif
Kula.scr
Learn Programming 2004.doc.exe
Lightwave 9 Update.exe
MS Service Pack 6.exe
MSN7-final.exe
Magix Video Deluxe 5 beta.exe
Matrix.mpg.exe
Maxthon_New.exe
Microsoft Office 2003 Crack best.exe
Microsoft WinXP Crack full.exe
Norton Antivirus 2005 beta.exe
Office_Crack.exe
Opera 11.exe
Partitionsmagic 10 beta.exe
Porno Screensaver britney.scr
Rain.scr
RealPlayer_New.exe
Ringtones.doc.exe
Ringtones.mp3.exe
Saddam Hussein.jpg.exe
Screensaver2.scr
Serial.txt.exe
Serials 2005_New.exe
Serials edition.txt.exe
Smashing the stack full.rtf.exe
Star Office 9.exe
Strip-Girl-2.0b.exe
Super Dollfie.pif
Teen Porn 15.jpg.pif
The Sims 4 beta.exe
TouchNet Browser 1.29b.exe
Ulead Keygen 2004.exe
UltraEdit-32 12.01 + Cracker.exe
Visual Studio Net Crack all.exe
Win Longhorn re.exe
Win Longhorn.doc.exe
WinAmp 13 full.exe
WinXP eBook newest.doc.exe
Winamp5.exe
Windows 2000 Sourcecode.doc.exe
Windows 2003 crack.exe
Windows XP crack.exe
Winxp_Crack.exe
XXX hardcore pics.jpg.exe
activation_crack.exe
angels.pif
cool screensaver.scr
dcom_patches.exe
dictionary.doc.exe
dolly_buster.jpg.pif
doom2.doc.pif
e-book.archive.doc.exe
e.book.doc.exe
eminem - lick my pussy.mp3.pif
firefox-1.6a1.en-US.win32.installer.exe
how to hack.doc.exe
icq2005-final.exe
matrix.scr
max payne 2.crack.exe
netsky source code.scr
nuke2004.exe
porno.scr
programming basics.doc.exe
rfc compilation.doc.exe
strippoker.exe
virii.scr
vissza...

A trójai kódját tartalmazó fájlok az alábbi ikonnal jelennek meg:

A Win32/Fanbot.H trójai a rendszerleíró adatbázisba az alábbi bejegyzéseket hozza létre, illetve módosítja (ha már létezik):

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] "WinShell"="C:\WINDOWS\System32\remote.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "WinShell"="C:\WINDOWS\System32\remote.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Setup] "Ph4nt0m"="Ph4nt0m"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcLocator] "DisplayName"="Remote Procedure Call (RPC) Locator"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcLocator] "ImagePath"="%SystemRoot%\System32\Locator.exe"
teljes lista...

A folyamatosan figyelő memóriarezidens vírusoknak, férgeknek célszerű gondoskodni arról, hogy csak egyszer kerüljenek a memóriába. Ennek érdekében úgynevezett mutexet hoznak létre, amelynek a létét a memóriába kerülés elött ellenőrzik.

A Win32/Fanbot.H trójai ___--->>>[EvilSecurity_Team]<<<---___ néven hoz létre mutexet.

A vírusok, férgek képesek arra, hogy megpróbálják a vírusvédelmi, illetve tűzfalakhoz tartozó folyamatokat leállítani. Ennek kettős célja van: egyrészt megnehezítik, hogy a felhasználó tudomást szerezzen a fertőzésről, másrészt egy esetleges hátsóajtó komponens kijutását is könnyebbé tehetik. Megtehetik azt is, hogy bizonyos, az internetre irányuló forgalmat elterelnek, egyes oldalak elérését megakadályozzák.

A Win32/Fanbot.H trójai leállítja az alábbi folyamatokat:

ALEScan.exe
ALEUpdat.exe
ALUNOTIFY.EXE
AUPDATE.EXE
AgtX0404.exe
teljes lista...

ALEScan.exe
ALEUpdat.exe
ALUNOTIFY.EXE
AUPDATE.EXE
AgtX0404.exe
AgtX0411.exe
AgtX0804.exe
AlertAst.exe
BackRav.exe
Blackd.exe
Blackice.exe
CCenter.exe
CVT.exe
CfgWiz.exe
DWHWizrd.exe
DefWatch.exe
EGhost.exe
HNetWiz.exe
HijackThis.exe
IDTemplate.exe
ISSVC.exe
IceSword.exe
InBuild.exe
Iparmor.exe
KATMain.EXE
KAV32.EXE
KAVDX.EXE
KAVLog2.EXE
KAVPFW.EXE
KAVPFW.exe
KAVStart.EXE
KAVStart.exe
KMailMon.EXE
KPFWSvc.EXE
KRecycle.EXE
KRegEx.exe
KShrMgr.EXE
KVDOS.exe
KVOL.exe
KVSrvXP.exe
KWatch.EXE
KWatch9x.EXE
KillBox.exe
KvDetect.exe
LDVPREG.exe
LRSend.exe
LSETUP.EXE
LUALL.EXE
LUInit.exe
LangSet.exe
LuComServer.EXE
LuaWrap.exe
MDAC.EXE
MSTask.exe
MakeBoot.exe
McAffeAv.exe
MsAgent.exe
NDETECT.EXE
PFW.exe
ProcessExplorer.exe
RAVDOS.EXE
Rav.exe
RavHDBak.exe
RavMon.exe
RavMonD.exe
RavPatch.exe
RavStore.exe
RavStub.exe
RavTimer.exe
RavXP.exe
RegClean.exe
RegGuide.exe
Rescue.EXE
Rfw.exe
RfwMain.exe
RootkitRevealer.exe
RsAgent.exe
RsConfig.exe
Rtvscan.exe
SMARTDRV.EXE
SOUNDMAN.exe
SavRoam.exe
ScanBD.exe
SetupWiz.EXE
SmartUp.exe
SymClnUp.exe
SymantecRootInstaller.exe
TrojanDetector.EXE
Trojanwall.exe
UpGrade.exe
Update.EXE
VPC32.exe
VPDN_LU.exe
VPTray.exe
WriteCan.exe
Zonealarm.exe
a2hijackfree.exe
adam.exe
aports.exe
ccEmFlSv.exe
fint2005.exe
iamstats.exe
java.exe
knlps.exe
knlsc13.exe
kvdetech.exe
kvolself.exe
kvupload.exe
kvwsc.exe
navustub.exe
nvchip4.exe
pm.exe
realsched.exe
rfwsrv.exe
rkdetector.exe
rssms.exe
rundll32.exe
system.exe
winhost.exe
winldr.exe
vissza...

Annak érdekében, hogy egy helyi hálózaton a vírusok, férgek könnyebben terjedhessenek, képesek arra, hogy fájlok, illetve könyvtárakat megosszanak a hálózaton, esetleg a megtámadott gépen FTP szerver szolgáltatást indítanak. Természetesen ezt annak az érdekében teszik, hogy a másik számítógép elött ülő kiváncsi felhasználó a megosztáson keresztül a saját gépét is megfertőzhesse.

A Win32/Fanbot.H trójai megosztott könyvtárként az alábbi mappákat használja:

soft
upload
mule
morpheus
lime
teljes lista...

A Win32/Fanbot.H trójai az alábbi fájlokat osztja meg P2P megosztásban:

'K.jpg.pif
1001 Sex and more.rtf.exe
3D Studio Max 6 3dsmax.exe
ACDSee 10.exe
AcrobatReader_New.exe
teljes lista...

'K.jpg.pif
1001 Sex and more.rtf.exe
3D Studio Max 6 3dsmax.exe
ACDSee 10.exe
AcrobatReader_New.exe
Adobe Photoshop 10 crack.exe
Adobe Photoshop 10 full.exe
Adobe Premiere 10.exe
Ahead Nero 8.exe
Altkins Diet.doc.exe
American Idol.doc.exe
Arnold Schwarzenegger.jpg.exe
Best Matrix Screensaver new.scr
Bifrost.scr
BlackIce_Firewall_Enterpriseactivation_Crack.exe
Britney Spears Sexy archive.doc.exe
Britney Spears Song text archive.doc.exe
Britney Spears and Eminem porn.jpg.exe
Britney Spears blowjob.jpg.exe
Britney Spears cumshot.jpg.exe
Britney Spears fuck.jpg.exe
Britney Spears full album.mp3.exe
Britney Spears porn.jpg.exe
Britney Spears.jpg.exe
Britney Spears.mp3.exe
Britney sex xxx.jpg.exe
Butterfly.scr
Clone DVD 6.exe
Cloning.doc.exe
Cracks & Warez Archiv.exe
Dark Angels new.pif
Dictionary English 2004 - France.doc.exe
DivX 8.0 final.exe
Doom 3 release 2.exe
E-Book Archive2.rtf.exe
Eminem Poster.jpg.exe
Eminem Sexy archive.doc.exe
Eminem Song text archive.doc.exe
Eminem Spears porn.jpg.exe
Eminem blowjob.jpg.exe
Eminem full album.mp3.exe
Eminem sex xxx.jpg.exe
Eminem.mp3.exe
Full album all.mp3.pif
Gimp 1.8 Full with Key.exe
Harry Potter 1-6 book.txt.exe
Harry Potter 5.mpg.exe
Harry Potter all e.book.doc.exe
Harry Potter e book.doc.exe
Harry Potter game.exe
Harry Potter.doc.exe
How to hack new.doc.exe
Internet Explorer 9 setup.exe
Kazaa Lite 4.0 new.exe
Kazaa new.exe
Keygen 4 all new.exe
Kula.jpg.pif
Kula.scr
Learn Programming 2004.doc.exe
Lightwave 9 Update.exe
MS Service Pack 6.exe
MSN7-final.exe
Magix Video Deluxe 5 beta.exe
Matrix.mpg.exe
Maxthon_New.exe
Microsoft Office 2003 Crack best.exe
Microsoft WinXP Crack full.exe
Norton Antivirus 2005 beta.exe
Office_Crack.exe
Opera 11.exe
Partitionsmagic 10 beta.exe
Porno Screensaver britney.scr
Rain.scr
RealPlayer_New.exe
Ringtones.doc.exe
Ringtones.mp3.exe
Saddam Hussein.jpg.exe
Screensaver2.scr
Serial.txt.exe
Serials 2005_New.exe
Serials edition.txt.exe
Smashing the stack full.rtf.exe
Star Office 9.exe
Strip-Girl-2.0b.exe
Super Dollfie.pif
Teen Porn 15.jpg.pif
The Sims 4 beta.exe
TouchNet Browser 1.29b.exe
Ulead Keygen 2004.exe
UltraEdit-32 12.01 + Cracker.exe
Visual Studio Net Crack all.exe
Win Longhorn re.exe
Win Longhorn.doc.exe
WinAmp 13 full.exe
WinXP eBook newest.doc.exe
Winamp5.exe
Windows 2000 Sourcecode.doc.exe
Windows 2003 crack.exe
Windows XP crack.exe
Winxp_Crack.exe
XXX hardcore pics.jpg.exe
activation_crack.exe
angels.pif
cool screensaver.scr
dcom_patches.exe
dictionary.doc.exe
dolly_buster.jpg.pif
doom2.doc.pif
e-book.archive.doc.exe
e.book.doc.exe
eminem - lick my pussy.mp3.pif
firefox-1.6a1.en-US.win32.installer.exe
how to hack.doc.exe
icq2005-final.exe
matrix.scr
max payne 2.crack.exe
netsky source code.scr
nuke2004.exe
porno.scr
programming basics.doc.exe
rfc compilation.doc.exe
strippoker.exe
virii.scr
vissza...

E-mail üzenetek

Az e-mail üzenetekben terjedő férgek elsődleges célja, hogy egy másik számítógépet megfertőzzenek. Ezt e-mail üzenetek létrehozásával és elküldésével érik el. Az létrehozott e-mail üzenetek általában tartalmazzák a féreg kódját, de az is előfordulhat, hogy maga a megtámadott számítógép felhasználója tölti azt le az üzenetben megadott hivatkozásról. Az egyes férgek a legkülönfélébb paraméterekkel rendelkező e-mail üzeneteket képesek generálni és elküldeni.

A Win32/Fanbot.H trójai a terjedése érdekében e-mail üzeneteket generál és ebben küldi tovább saját kódját.

Hogy az e-mail üzenetekben terjedő vírusok, férgek minél inkább el tudjanak terjedni, a megtámadott számítógépeken e-mail címeket gyűjtenek. Ezeket az e-mail címeket aztán felhasználják egyrészt arra, hogy a vírus, féreg kódját továbbküldjék. Esetenként a megtalált címeket a Feladó mező kitöltésére is használják, meghamisítva ezzel az üzenet forrását.

A Win32/Fanbot.H trójai a(z) Temporary Internet Files mappában keres e-mail címeket.

A Win32/Fanbot.H trójai az alábbi kiterjesztésű fájlokban keres e-mail címeket:

wab
mdb
shtml
shtm
mht
teljes lista...

A Win32/Fanbot.H trójai a(z) [HKEY_LOCAL_MACHINE\Software\Microsoft\WAB\WAB4] regisztrációs bejegyzést használja az email címek kereséséhez.

Az üzenetek elküldéséhez a férgek, vírusok a megpróbálják megkeresni a továbbításhoz szükséges SMTP szervereket.

A Win32/Fanbot.H trójai az üzenetek elküldéséhez használt SMTP szerverek kereséséhez az aktuális domain elé illesztett alábbi előtagokkal próbálkozik:

gate.
mail.
mail1.
mx.
mx1.
teljes lista...

A trójai a [HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts] regisztrációs adatbázis bejegyzést használja SMTP szerver kereséséhez.

Az összeállított e-mail üzenetek felépítése az alábbi:

Feladó	A feladó e-mail címében szereplő felhasználó az alábbiak egyike: admin administrator info mail noreply teljes lista... admin administrator info mail noreply register service support webmaster vissza...
Címzett	A levél lehetséges címzettjei: sandra adam frank linda julie teljes lista... sandra adam frank linda julie jimmy jerry helen debby claudia brenda anna sales brent paul ted fred jack bill stan smith steve matt dave dan joe jane bob robert peter tom ray mary serg brian jim maria leo jose andrew sam george david kevin mike james michael alex josh john vissza... Nem küld e-mailt azonban az alábbi szavakat tartalmazó címekre: -._! -._!@ .gov .mil acketst teljes lista... -._! -._!@ .gov .mil acketst antivi arin. avp berkeley borlan bsd duba example f-pro f-secur fbi fido foo. freeav fsf. gnu google gov. hotmail iana ibm.com icrosof ietf inpris isc.o isi.e jiangmin kaspersky kernel linux math mcafee messagelabs mit.e mozilla msn. mydomai nodomai norman norton panda pgp rfc-ed ripe. rising ruslis sdbot secur sendmail slashdot sopho sourceforge support syma symantec tanford.e unix usenet utgers.ed viruslis vissza...
Tárgy	A levélnek különböző tárgyai lehetnek. A lehetőségek az alábbiak: A levél lehetséges tárgyai: DETECTED ONLINE USER VIOLATION. DETECTED Online User Violation. Email Account Suspension. HELLO. WEĄŻRE SKYPE AND WEĄŻVE GOT SOMETHING WE WOULD LIKE TO SHARE WITH YOU. Hello. WeĄŻre Skype and weĄŻve got something we would like to share with you. teljes lista... DETECTED ONLINE USER VIOLATION. DETECTED Online User Violation. Email Account Suspension. HELLO. WEĄŻRE SKYPE AND WEĄŻVE GOT SOMETHING WE WOULD LIKE TO SHARE WITH YOU. Hello. WeĄŻre Skype and weĄŻve got something we would like to share with you. IMPORTANT NOTIFICATION! Important Notification! MEMBERS SUPPORT. Members Support. NOTICE OF ACCOUNT LIMITATION. Notice of account limitation. SECURITY MEASURES. SHARE SKYPE. SKYPE FOR WINDOWS 1.4 SKYPE FOR WINDOWS 1.4 - HAVE YOU GOT THE NEW SKYPE? Security measures. Share Skype. Skype for Windows 1.4 Skype for Windows 1.4 - Have you got the new Skype? WARNING MESSAGE: YOUR SERVICES NEAR TO BE CLOSED. WHAT IS SKYPE? Warning Message: Your services near to be closed. What is Skype? YOUR ACCOUNT IS SUSPENDED FOR SECURITY REASONS. YOUR ACCOUNT IS SUSPENDED. Your Account is Suspended For Security Reasons. Your Account is Suspended. vissza... Tehet a levél Tárgy (Subject) mezőjébe véletlenszerűen generált szöveget.
Melléklet	A trójai által elküldött e-mail melléklete többféle lehet. A lehetőségek az alábbiak: Lehet a trójai által elküldött e-mail mellékletének neve az alábbiak egyike: Share Skype Skype Skype for Windows 1 Skype-details Skype-document teljes lista... Share Skype Skype Skype for Windows 1 Skype-details Skype-document Skype-info Skype-stuffs account-details account-info account-report document email-details important-details readme vissza... Összeállíthatja a trójai által elküldött e-mail mellékletének nevét véletlenszerű karakterekből. A trójai által elküldött e-mail mellékletének kiterjesztése lehet: .4.zip .zip .4.zip .zip

Biztonsági rések, sérülékenységek

Egy, az Interneten terjedő vírus, féreg a felhasználó interaktívitása mellett kihasználhatja a megtámadott számítógép operációs rendszerének, illetve valamely alkalmazásának biztonsági hibáját. Ennek révén képes arra, hogy a megtámadott számítógépen vezérlést szerezzen.

A Win32/Fanbot.H trójai a terjedése érdekében kihasználja a Microsoft MS05-039 jelű sérülékenységét.

A Plug and Play (PnP) szolgáltatáson programkód távoli futtatását lehetővé tevő biztonsági rés található. Ezt kihasználva a támadó teljes mértékben átveheti az irányítást az érintett számítógép felett, majd ezt követően programokat telepíthet, illetve adatokat tekinthet meg, módosíthat és törölhet és korlátozás nélküli jogosultságokkal rendelkező új fiókokat is létrehozhat.

Támadás az interneten

Sok vírus, féreg képes arra, hogy az interneten támadást indítson más számítógépek ellen, lehetetlenné téve azok használatát.

A trójai módosítja a host fájlt, ezáltal az alábbi webcímek elérhetetlenné válnak:

virustotal.com
www.virustotal.com
microsoft.com
www.microsoft.com
www.grisoft.com
teljes lista...

Hátsóajtó

A vírusok, férgek egyre gyakrabban nyitnak hátsóajtót a megtámadott számítógépen. Ezzel teljes mértékben átvehetik a számítógép felügyeletét, a támadó azt csinál a számítógépen, amit csak akar: alkalmazásokat futtathat, állíthat le, állományokat tölthet le/fel, jelszavakat, hozzáférési kódokat tulajdoníthat el.

A Win32/Fanbot.H trójai véletlenszerűen kiválasztott portokon nyit hátsóajtót.

Egyebek

A kártékony programok programozói az elkészült kódban üzeneteket, képeket helyezhetnek el, melyeket általában valamilyen formában titkosítanak. A vírusok, programférgek és egyéb kártevők programkódjában sok esetben találunk jellegzetes szövegeket, amelyekben vagy a vírus készítőjének szignóját tisztelhetjük, vagy a vírus működéséhez felhasznált jellemző szövegrészeket (fájl és könyvtárnevek stb.). E szövegek nem mindig ismerhetők fel közvetlenül, többnyire csak a kódolt vírusprogram dekódolásával válnak láthatóvá és olvashatóvá.

A Win32/Fanbot.H trójai programkódjában szereplő, de soha meg nem jelenő szöveg(ek):

If u have Zotob's SourceCode, please u mail it to me!!! E-mail:x140yu@Gmail.Com thanks!!!
[Phantom] 2005 made by Evil[xiaou]. Special Thanks:x140d4n.
Play with the best, Die like the rest.