Keco.H

Létrehozva: 2008-05-16, 14:06:31

Utolsó frissítés: 2009-11-09, 17:40:00

Platform: Win32

Típus: féreg

Méret: 22016

Dátum: 2004-06-09

Veszélyeztetett operációs rendszer(ek): Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows Server 2003, Windows XP

Nem veszélyeztetett operációs rendszer(ek): Windows 3.xx, DOS, Linux, Unix, Solaris, MacOS, Mac OS X, OS2

Elnevezések:

A különböző vírusvédelmek az egyes vírusokat, férgeket eltérő névvel illethetik. Előfordulhat, hogy egy vírusvédelmi rendszer egy adott károkozó program különböző példányait különböző neveken azonosítja, de az is elképzelhető, hogy különböző vírusokat, férgeket illet azonos néven. Az alábbi lista tájékoztató jelleggel mutatja a legelterjedtebb vírusvédelmek elnevezését, mely természetesen még az adott vírusvédelmi rendszer különböző verziója esetén is más és más lehet.

A Win32/Keco.H féreg elnevezései az egyes vírusvédelmek szerint:

vírusvédelem	elnevezés
Avast	Win32:Keco-B@UPX
AVG	I-Worm/Keco.H
Avira	WORM/Keco.H
BitDefender	Generic.Malware.M!prnoe.C85ACB6D
e-Trust	Win32/Malum.ATHB
F-PROT	W32/Keco.I
Fortinet	W32/Keco.A!worm
F-Secure	Email-Worm.Win32.Keco.h

vírusvédelem	elnevezés
Ikarus	Email-Worm.Win32.Keco.H
Kaspersky	Email-Worm.Win32.Keco.h
McAfee	W32/Keco.worm.gen(Virus)
NOD32 (ESET)	Win32/Keco.H
Microsoft	Win32/Delf
Norton Antivirus	W32.Keco@mm
Rising Antivirus	Worm.Mail.Keco.n
Trend Micro	WORM_Generic

Telepítés:

Az interneten vagy lokális hálózaton terjedő kártevők elsődleges célja, hogy egy másik számítógépet fertőzzenek meg. A megtámadott számítógép működésébe, annak operációs rendszerébe általában úgy épülnek be, hogy az egy esetleges újraindítást (boot-olást) követően is aktivízálja a kártevő kódját. Ezt általában úgy érik el, hogy a kártevő kódját tartalmazó fájl(oka)t hoznak létre vagy meglévő fájl(oka)t módosítanak, illetve beállítanak néhány bejegyzést a rendszerleíró adatbázisban, ami arra utasítja az induló operációs rendszert, hogy a frissen elhelyezett kártékony kódot is el kell indítani. Emellett - nem közvetlenül az újraindítás érdekében - más területeken (könyvtárakban) is létrehoznak magukból másolatot. Ennek kettős célja van: Egyrészt egy esetleges vírusirtást követően egy eldugott helyen megmaradhatnak a fertőzött állományok, másrészt helyi hálózatokban, megosztott könyvtárakban, peer-to-peer hálózatokban is képes terjedni. Kihasználhatják továbbá a Windows alapértelmezés szerinti beállítását is, miszerint egy létrehozott AUTORUN.INF nevű fájllal el lehet érni, hogy egy meghajtó megnyitásakor is aktivizálódjon a kártékony kód.

A Win32/Keco.H féreg a Windows System32 mappájában (alapértelmezés szerint C:\Windows\System32) létrehozza az alábbi fájlokat:

[0]eCard.zip
[1]eCard.zip
1 Update.zip
3 Update.zip
A_eCard.zip
teljes lista...

[0]eCard.zip
[1]eCard.zip
1 Update.zip
3 Update.zip
A_eCard.zip
Application.zip
Applications.zip
BetaFile.zip
Cigg.zip
CiggSmoke.zip
CiggWeed.zip
Dare.zip
DareWho .zip
Death.zip
Details.zip
DieLive.zip
Document.zip
eCard.zip
eCard_20349.zip
eCard_30042.zip
eCard_30259.zip
FileInfo.zip
FileNews.zip
FileTest.zip
FileText.zip
Image.zip
Images00.zip
Images04.zip
IMG_0345486.zip
IMG_094385.zip
IMG_2186395.zip
IMG_2194864.zip
IMG_2318975.zip
IMG_234502.zip
IMG_2349.zip
IMG_2384063.zip
IMG_34534953.zip
IMG_358996.zip
IMG_567567.zip
IMG_804325.zip
Info.zip
Info_Your.zip
InfoFile.zip
ItsATest.zip
Jpeg_file.zip
JPG Test.zip
Life.zip
Live.zip
LiveDie.zip
Music.zip
MusicPlayer.zip
MusicRar.zip
My Image.zip
My_Details.zip
My_Info.zip
MyImages.zip
NewEmail.zip
NewsFile.zip
Pic Test.zip
Picture0.zip
PictureFile.zip
PictureImageFormat.zip
Pictures.zip
Porn.zip
PornFile.zip
PornPic.zip
PornZip.zip
Profiles.zip
Rared.zip
RaredDocs.zip
RaredDocuments.zip
RaredJpeg.zip
RaredMusic.zip
RaredPictures.zip
RaredPorn.zip
RaredTexts.zip
RarFile.zip
RarPorn.zip
Smoke.zip
SmokeCigg.zip
SmokeWeed.zip
Test Pic.zip
TestTest.zip
Testthis.zip
Textfile.zip
TheEmail.zip
ThisFile.zip
Tmp Docu.zip
tmpEMail.zip
tmpFiles.zip
tmpInfo0.zip
tmpInfo1.zip
tmpLogin.zip
tmpPics0.zip
tmpTexts.zip
UrDetail.zip
Weed.zip
WeedCigg.zip
WeedSmoke.zip
WhoDare.zip
WinZipper.zip
Your Doc.zip
Your_Application.zip
Your_CardNumber.zip
Your_Details.zip
Your_eCard.zip
Your_Info.zip
Your_Login.zip
Your_Numbers.zip
Your_Profile.zip
Your_SignIn.zip
YourFile.zip
YourMail.zip
YourTest.zip
YourText.zip
ZipDoc.zip
ZipFile.zip
Zipped.zip
ZippedDocs.zip
ZippedFiles.zip
ZippedJpeg.zip
ZippedPictures.zip
ZippedPorn.zip
ZippedTexts.zip
vissza...

A Win32/Keco.H féreg a merevlemez(ek) főkönyvtárában létrehozza a(z) Coke.txt nevű fájlt.

A Win32/Keco.H féreg az ideiglenes (Temp) mappában létrehozhatja az alábbi fájlokat:

[0]eCard.zip
[1]eCard.zip
1 Update.zip
3 Update.zip
A_eCard.zip
teljes lista...

[0]eCard.zip
[1]eCard.zip
1 Update.zip
3 Update.zip
A_eCard.zip
Application.zip
Applications.zip
BetaFile.zip
Cigg.zip
CiggSmoke.zip
CiggWeed.zip
Dare.zip
DareWho .zip
Death.zip
Details.zip
DieLive.zip
Document.zip
eCard.zip
eCard_20349.zip
eCard_30042.zip
eCard_30259.zip
FileInfo.zip
FileNews.zip
FileTest.zip
FileText.zip
Image.zip
Images00.zip
Images04.zip
IMG_0345486.zip
IMG_094385.zip
IMG_2186395.zip
IMG_2194864.zip
IMG_2318975.zip
IMG_234502.zip
IMG_2349.zip
IMG_2384063.zip
IMG_34534953.zip
IMG_358996.zip
IMG_567567.zip
IMG_804325.zip
Info.zip
Info_Your.zip
InfoFile.zip
ItsATest.zip
Jpeg_file.zip
JPG Test.zip
Life.zip
Live.zip
LiveDie.zip
Music.zip
MusicPlayer.zip
MusicRar.zip
My Image.zip
My_Details.zip
My_Info.zip
MyImages.zip
NewEmail.zip
NewsFile.zip
Pic Test.zip
Picture0.zip
PictureFile.zip
PictureImageFormat.zip
Pictures.zip
Porn.zip
PornFile.zip
PornPic.zip
PornZip.zip
Profiles.zip
Rared.zip
RaredDocs.zip
RaredDocuments.zip
RaredJpeg.zip
RaredMusic.zip
RaredPictures.zip
RaredPorn.zip
RaredTexts.zip
RarFile.zip
RarPorn.zip
Smoke.zip
SmokeCigg.zip
SmokeWeed.zip
Test Pic.zip
TestTest.zip
Testthis.zip
Textfile.zip
TheEmail.zip
ThisFile.zip
Tmp Docu.zip
tmpEMail.zip
tmpFiles.zip
tmpInfo0.zip
tmpInfo1.zip
tmpLogin.zip
tmpPics0.zip
tmpTexts.zip
UrDetail.zip
Weed.zip
WeedCigg.zip
WeedSmoke.zip
WhoDare.zip
WinZipper.zip
Your Doc.zip
Your_Application.zip
Your_CardNumber.zip
Your_Details.zip
Your_eCard.zip
Your_Info.zip
Your_Login.zip
Your_Numbers.zip
Your_Profile.zip
Your_SignIn.zip
YourFile.zip
YourMail.zip
YourTest.zip
YourText.zip
ZipDoc.zip
ZipFile.zip
Zipped.zip
ZippedDocs.zip
ZippedFiles.zip
ZippedJpeg.zip
ZippedPictures.zip
ZippedPorn.zip
ZippedTexts.zip
vissza...

E-mail üzenetek

Az e-mail üzenetekben terjedő férgek elsődleges célja, hogy egy másik számítógépet megfertőzzenek. Ezt e-mail üzenetek létrehozásával és elküldésével érik el. Az létrehozott e-mail üzenetek általában tartalmazzák a féreg kódját, de az is előfordulhat, hogy maga a megtámadott számítógép felhasználója tölti azt le az üzenetben megadott hivatkozásról. Az egyes férgek a legkülönfélébb paraméterekkel rendelkező e-mail üzeneteket képesek generálni és elküldeni.

A Win32/Keco.H féreg a terjedése érdekében e-mail üzeneteket generál és ebben küldi tovább saját kódját.

Az összeállított e-mail üzenetek felépítése az alábbi:

Feladó

A levél feladóját a megtámadott számítógépről gyűjti össze, illetve korábban megtámadott számítógépekről gyűjtötte össze.

Tárgy

A levél lehetséges tárgyai:

2 Poem
a Image
a Joke
a Picture
a Poem
teljes lista...

2 Poem
a Image
a Joke
a Picture
a Poem
a Text
Am best I
Am i Best
are you a f-g?
are you intrested in making movies?
are you jesus? ;D
Best Am I
Best i am
blah blah blah
check it out, its sick :D
coke just rules done you think ?
cute boring love :P
Cute, Boring, Love.
Did you like my poem?
Did you like my text?
do i know you?
do i trust you?
do you got aim?
do you got icq?
do you got mail? :D
do you got msn?
do you have a mistake ?
do you know me?
do you love money?
do you trust me?
Document!
doesnt matter to me
dont you ever gets so sick of territories ?
dont you longing for purity ?
dude, im nude
eCard sent to you
File!
File?
getting money?
gr8 :)
great
haha there you are
hahahahahahaha :D
hello dude
hey, stop buggin me
how i like it
I + U
i am a lesbian
I am Best
i am hiding
i am naked
i Best Am
i can walk on the water
i eat glass :D
i got a picture of me
i got a picture of you
i got a picture of you and me
i got a problem
i hate fags
i hate to be a homosexual
i hate to be gay
i hate to be singel
i hate to not be lesbian
i like apple juice
i love money
i made a mistake
i made a mistake :(
i see everything :D
i want to have you
i want to own you
i want to trademark
i want you
im afraid
im afraid of begin ignore
im afraid of dieing
im afraid of feeling
Im back :D
im not afraid
im not afraid of trying
Image of you
Image?
is ?
is it just me?
is this ?
is this a mistake ?
is this james?
is this julie?
is this kirk?
is this kurt?
is this mary?
is this right mail?
is this rutger?
is this stefan?
is this stephen?
Its me :)
its whats its all about
ive searched for you :D
just u and i
Links
making movies ?
man im nude
My File
My picture
My Poem
My private documents
My private files
My private images
My private pics
My private textes
My Text
New document
New File
noone knows, just u and i
oh yea
oh yea, thats how i like it
Pic?
profile
she said what i was supposed to think :P
sick of spam? so am i :/
some text
s--t man :P
s--t s--t s--t
sup ?
The document
the poem
the text
this is so sick man :D
U + I
U and i
w0rd
want to listen on some music?
warning, im hot
warning, its me
what are you so scared of ?
what you want ?
whats up?
where is the sky?
which u want?
whos picture ?
words, i hate words
wow hahaha
wow, if this aint pron, then i dont know what it is
wow, im so cool
WOW, powerlevel up :D
You got a pic ?
you got a picture ?
you got a picture of me
you got a picture of us
You got image ?
You got picture?
Your details
Your document
Your File
Your picture
your profile
Your ZIP
Yours
vissza...

Melléklet

A féreg által elküldött e-mail mellékletének neve lehet:

Re:
re:
Fwd:
FWD:
[0]eCard
teljes lista...

Re:
re:
Fwd:
FWD:
[0]eCard
[1]eCard
1 Update
3 Update
A_eCard
Application
Applications
BetaFile
Cigg
CiggSmoke
CiggWeed
Dare
DareWho
Death
Details
DieLive
Document
eCard
eCard_20349
eCard_30042
eCard_30259
FileInfo
FileNews
FileTest
FileText
Image
Images00
Images04
IMG_0345486
IMG_094385
IMG_2186395
IMG_2194864
IMG_2318975
IMG_234502
IMG_2349
IMG_2384063
IMG_34534953
IMG_358996
IMG_567567
IMG_804325
Info
Info_Your
InfoFile
ItsATest
Jpeg_file
JPG Test
Life
Live
LiveDie
Music
MusicPlayer
MusicRar
My Image
My_Details
My_Info
MyImages
NewEmail
NewsFile
Pic Test
Picture0
PictureFile
PictureImageFormat
Pictures
Porn
PornFile
PornPic
PornZip
Profiles
Rared
RaredDocs
RaredDocuments
RaredJpeg
RaredMusic
RaredPictures
RaredPorn
RaredTexts
RarFile
RarPorn
Smoke
SmokeCigg
SmokeWeed
Test Pic
TestTest
Testthis
Textfile
TheEmail
ThisFile
Tmp Docu
tmpEMail
tmpFiles
tmpInfo0
tmpInfo1
tmpLogin
tmpPics0
tmpTexts
UrDetail
Weed
WeedCigg
WeedSmoke
WhoDare
WinZipper
Your Doc
Your_Application
Your_CardNumber
Your_Details
Your_eCard
Your_Info
Your_Login
Your_Numbers
Your_Profile
Your_SignIn
YourFile
YourMail
YourTest
YourText
ZipDoc
ZipFile
Zipped
ZippedDocs
ZippedFiles
ZippedJpeg
ZippedPictures
ZippedPorn
ZippedTexts
vissza...

A féreg által elküldött e-mail mellékletének kiterjesztése lehet:

.bat
.cmd
.com
.exe
.pif
.scr
.zip

A megtámadott számítógépen a hátsóajtó nyitásának egy eszköze, ha valamilyen IRC csatornán keresztül a féreg vagy vírus lehetőséget teremt a távvezérlésre. Az IRC csatornákon keresztül tovább is küldheti magát más IRC felhasználókhoz.

A Win32/Keco.H féreg az alábbi IRC szerverekhez csatlakozik:

sysinternals.com
winternals.com
innocent.com
contact.es
prague.cz
teljes lista...