Keco.NAA

 

Létrehozva: 2008-05-16, 14:07:44

Utolsó frissítés: 2009-11-09, 17:40:05

Platform: Win32

Típus: féreg

Méret: 22016

Dátum: 2004-03-08

Veszélyeztetett operációs rendszer(ek): Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows Server 2003, Windows XP

Nem veszélyeztetett operációs rendszer(ek): Windows 3.xx, DOS, Linux, Unix, Solaris, MacOS, Mac OS X, OS2

---

Elnevezések:

A különböző vírusvédelmek az egyes vírusokat, férgeket eltérő névvel illethetik. Előfordulhat, hogy egy vírusvédelmi rendszer egy adott károkozó program különböző példányait különböző neveken azonosítja, de az is elképzelhető, hogy különböző vírusokat, férgeket illet azonos néven. Az alábbi lista tájékoztató jelleggel mutatja a legelterjedtebb vírusvédelmek elnevezését, mely természetesen még az adott vírusvédelmi rendszer különböző verziója esetén is más és más lehet.

A Win32/Keco.NAA féreg elnevezései az egyes vírusvédelmek szerint:

vírusvédelem	elnevezés
Avast	Win32:Keco@UPX
AVG	I-Worm/Keco.G
Avira	WORM/Keco.G
BitDefender	Generic.Malware.M!prnoe.E59999C9
e-Trust	Win32/Malum.ZBL
F-PROT	W32/Keco.G
Fortinet	W32/Keco@mm
F-Secure	Email-Worm.Win32.Keco.g

vírusvédelem	elnevezés
Ikarus	Email-Worm.Win32.Keco.G
Kaspersky	Email-Worm.Win32.Keco.g
McAfee	W32/Keco.worm.gen(Virus)
NOD32 (ESET)	Win32/Keco.NAA
Microsoft	Win32/Keco.G@mm
Norton Antivirus	W32.Keco@mm
Rising Antivirus	Worm.Mail.Keco.b
Trend Micro	WORM_Generic

---

Telepítés:

Az interneten vagy lokális hálózaton terjedő kártevők elsődleges célja, hogy egy másik számítógépet fertőzzenek meg. A megtámadott számítógép működésébe, annak operációs rendszerébe általában úgy épülnek be, hogy az egy esetleges újraindítást (boot-olást) követően is aktivízálja a kártevő kódját. Ezt általában úgy érik el, hogy a kártevő kódját tartalmazó fájl(oka)t hoznak létre vagy meglévő fájl(oka)t módosítanak, illetve beállítanak néhány bejegyzést a rendszerleíró adatbázisban, ami arra utasítja az induló operációs rendszert, hogy a frissen elhelyezett kártékony kódot is el kell indítani. Emellett - nem közvetlenül az újraindítás érdekében - más területeken (könyvtárakban) is létrehoznak magukból másolatot. Ennek kettős célja van: Egyrészt egy esetleges vírusirtást követően egy eldugott helyen megmaradhatnak a fertőzött állományok, másrészt helyi hálózatokban, megosztott könyvtárakban, peer-to-peer hálózatokban is képes terjedni. Kihasználhatják továbbá a Windows alapértelmezés szerinti beállítását is, miszerint egy létrehozott AUTORUN.INF nevű fájllal el lehet érni, hogy egy meghajtó megnyitásakor is aktivizálódjon a kártékony kód.

A Win32/Keco.NAA féreg a Windows mappában (alapértelmezés szerint C:\Windows) létrehozza az alábbi fájlokat: [0]eCard.zip [1]eCard.zip 1 Update.zip 3 Update.zip A_eCard.zip teljes lista... [0]eCard.zip [1]eCard.zip 1 Update.zip 3 Update.zip A_eCard.zip Application.zip Applications.zip BetaFile.zip Cigg.zip CiggSmoke.zip CiggWeed.zip Dare.zip DareWho .zip Death.zip Details.zip DieLive.zip Document.zip eCard.zip eCard_20349.zip eCard_30042.zip eCard_30259.zip FileInfo.zip FileNews.zip FileTest.zip FileText.zip Image.zip Images00.zip Images04.zip IMG_0345486.zip IMG_094385.zip IMG_2186395.zip IMG_2194864.zip IMG_2318975.zip IMG_234502.zip IMG_2349.zip IMG_2384063.zip IMG_34534953.zip IMG_358996.zip IMG_567567.zip IMG_804325.zip Info.zip Info_Your.zip InfoFile.zip ItsATest.zip Jpeg_file.zip JPG Test.zip Life.zip Live.zip LiveDie.zip Music.zip MusicPlayer.zip MusicRar.zip My Image.zip My_Details.zip My_Info.zip MyImages.zip NewEmail.zip NewsFile.zip Pic Test.zip Picture0.zip PictureFile.zip PictureImageFormat.zip Pictures.zip Porn.zip PornFile.zip PornPic.zip PornZip.zip Profiles.zip Rared.zip RaredDocs.zip RaredDocuments.zip RaredJpeg.zip RaredMusic.zip RaredPictures.zip RaredPorn.zip RaredTexts.zip RarFile.zip RarPorn.zip Smoke.zip SmokeCigg.zip SmokeWeed.zip Test Pic.zip TestTest.zip Testthis.zip Textfile.zip TheEmail.zip ThisFile.zip Tmp Docu.zip tmpEMail.zip tmpFiles.zip tmpInfo0.zip tmpInfo1.zip tmpLogin.zip tmpPics0.zip tmpTexts.zip UrDetail.zip Weed.zip WeedCigg.zip WeedSmoke.zip WhoDare.zip WinZipper.zip Your Doc.zip Your_Application.zip Your_CardNumber.zip Your_Details.zip Your_eCard.zip Your_Info.zip Your_Login.zip Your_Numbers.zip Your_Profile.zip Your_SignIn.zip YourFile.zip YourMail.zip YourTest.zip YourText.zip ZipDoc.zip ZipFile.zip Zipped.zip ZippedDocs.zip ZippedFiles.zip ZippedJpeg.zip ZippedPictures.zip ZippedPorn.zip ZippedTexts.zip vissza... A Win32/Keco.NAA féreg a Windows System32 mappájában (alapértelmezés szerint C:\Windows\System32) létrehozza az alábbi fájlokat: WinShellc.exe [0]eCard.zip [1]eCard.zip 1 Update.zip 3 Update.zip teljes lista... WinShellc.exe [0]eCard.zip [1]eCard.zip 1 Update.zip 3 Update.zip A_eCard.zip Application.zip Applications.zip BetaFile.zip Cigg.zip CiggSmoke.zip CiggWeed.zip Dare.zip DareWho .zip Death.zip Details.zip DieLive.zip Document.zip eCard.zip eCard_20349.zip eCard_30042.zip eCard_30259.zip FileInfo.zip FileNews.zip FileTest.zip FileText.zip Image.zip Images00.zip Images04.zip IMG_0345486.zip IMG_094385.zip IMG_2186395.zip IMG_2194864.zip IMG_2318975.zip IMG_234502.zip IMG_2349.zip IMG_2384063.zip IMG_34534953.zip IMG_358996.zip IMG_567567.zip IMG_804325.zip Info.zip Info_Your.zip InfoFile.zip ItsATest.zip Jpeg_file.zip JPG Test.zip Life.zip Live.zip LiveDie.zip Music.zip MusicPlayer.zip MusicRar.zip My Image.zip My_Details.zip My_Info.zip MyImages.zip NewEmail.zip NewsFile.zip Pic Test.zip Picture0.zip PictureFile.zip PictureImageFormat.zip Pictures.zip Porn.zip PornFile.zip PornPic.zip PornZip.zip Profiles.zip Rared.zip RaredDocs.zip RaredDocuments.zip RaredJpeg.zip RaredMusic.zip RaredPictures.zip RaredPorn.zip RaredTexts.zip RarFile.zip RarPorn.zip Smoke.zip SmokeCigg.zip SmokeWeed.zip Test Pic.zip TestTest.zip Testthis.zip Textfile.zip TheEmail.zip ThisFile.zip Tmp Docu.zip tmpEMail.zip tmpFiles.zip tmpInfo0.zip tmpInfo1.zip tmpLogin.zip tmpPics0.zip tmpTexts.zip UrDetail.zip Weed.zip WeedCigg.zip WeedSmoke.zip WhoDare.zip WinZipper.zip Your Doc.zip Your_Application.zip Your_CardNumber.zip Your_Details.zip Your_eCard.zip Your_Info.zip Your_Login.zip Your_Numbers.zip Your_Profile.zip Your_SignIn.zip YourFile.zip YourMail.zip YourTest.zip YourText.zip ZipDoc.zip ZipFile.zip Zipped.zip ZippedDocs.zip ZippedFiles.zip ZippedJpeg.zip ZippedPictures.zip ZippedPorn.zip ZippedTexts.zip vissza... A Win32/Keco.NAA féreg a merevlemez(ek) főkönyvtárában létrehozza a(z) Coke.txt nevű fájlt.

A rendszerleíró adatbázisba a(z) [ HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon] " Shell" =" Explorer. exe C: \ WINDOWS\ system32\ WinShellc. exe" bejegyzést teszi, illetve módosítja (ha már létezik).

Az újraindítást követő aktivizálódás elérésének számos egyéb lehetősége is van. A Windows működése során néhány olyan szöveges, konfigurációs állományt is használ, mely lehetőséget ad az automatikus elindulásra.

A Win32/Keco.NAA féreg a C:\Windows\System.ini fájl [boot] szekciójába a(z) Shell=Explorer.exe WinShellc.exe bejegyzést teszi.

A folyamatosan figyelő memóriarezidens vírusoknak, férgeknek célszerű gondoskodni arról, hogy csak egyszer kerüljenek a memóriába. Ennek érdekében úgynevezett mutexet hoznak létre, amelynek a létét a memóriába kerülés elött ellenőrzik.

A Win32/Keco.NAA féreg COKE_DESTROYS_YOUR_BRAIN_5 néven hoz létre mutexet.

---

E-mail üzenetek

Az e-mail üzenetekben terjedő férgek elsődleges célja, hogy egy másik számítógépet megfertőzzenek. Ezt e-mail üzenetek létrehozásával és elküldésével érik el. Az létrehozott e-mail üzenetek általában tartalmazzák a féreg kódját, de az is előfordulhat, hogy maga a megtámadott számítógép felhasználója tölti azt le az üzenetben megadott hivatkozásról. Az egyes férgek a legkülönfélébb paraméterekkel rendelkező e-mail üzeneteket képesek generálni és elküldeni.

A Win32/Keco.NAA féreg a terjedése érdekében e-mail üzeneteket generál és ebben küldi tovább saját kódját.

Az összeállított e-mail üzenetek felépítése az alábbi: Feladó A levél feladóját a megtámadott számítógépről gyűjti össze, illetve korábban megtámadott számítógépekről gyűjtötte össze. Tárgy A levél lehetséges tárgyai: 2 Poem a Image a Joke a Picture a Poem teljes lista... 2 Poem a Image a Joke a Picture a Poem a Text Am best I Am i Best are you a f-g? are you intrested in making movies? are you jesus? ;D Best Am I Best i am blah blah blah check it out, its sick :D coke just rules done you think ? cute boring love :P Cute, Boring, Love. Did you like my poem? Did you like my text? do i know you? do i trust you? do you got aim? do you got icq? do you got mail? :D do you got msn? do you have a mistake ? do you know me? do you love money? do you trust me? Document! doesnt matter to me dont you ever gets so sick of territories ? dont you longing for purity ? dude, im nude eCard sent to you File! File? getting money? gr8 :) great haha there you are hahahahahahaha :D hello dude hey, stop buggin me how i like it I + U i am a lesbian I am Best i am hiding i am naked i Best Am i can walk on the water i eat glass :D i got a picture of me i got a picture of you i got a picture of you and me i got a problem i hate fags i hate to be a homosexual i hate to be gay i hate to be singel i hate to not be lesbian i like apple juice i love money i made a mistake i made a mistake :( i see everything :D i want to have you i want to own you i want to trademark i want you im afraid im afraid of begin ignore im afraid of dieing im afraid of feeling Im back :D im not afraid im not afraid of trying Image of you Image? is ? is it just me? is this ? is this a mistake ? is this james? is this julie? is this kirk? is this kurt? is this mary? is this right mail? is this rutger? is this stefan? is this stephen? Its me :) its whats its all about ive searched for you :D just u and i Links making movies ? man im nude My File My picture My Poem My private documents My private files My private images My private pics My private textes My Text New document New File noone knows, just u and i oh yea oh yea, thats how i like it Pic? profile she said what i was supposed to think :P sick of spam? so am i :/ some text s--t man :P s--t s--t s--t sup ? The document the poem the text this is so sick man :D U + I U and i w0rd want to listen on some music? warning, im hot warning, its me what are you so scared of ? what you want ? whats up? where is the sky? which u want? whos picture ? words, i hate words wow hahaha wow, if this aint pron, then i dont know what it is wow, im so cool WOW, powerlevel up :D You got a pic ? you got a picture ? you got a picture of me you got a picture of us You got image ? You got picture? Your details Your document Your File Your picture your profile Your ZIP Yours vissza... Melléklet A féreg által elküldött e-mail mellékletének neve lehet: Re: re: Fwd: FWD: [0]eCard teljes lista... Re: re: Fwd: FWD: [0]eCard [1]eCard 1 Update 3 Update A_eCard Application Applications BetaFile Cigg CiggSmoke CiggWeed Dare DareWho Death Details DieLive Document eCard eCard_20349 eCard_30042 eCard_30259 FileInfo FileNews FileTest FileText Image Images00 Images04 IMG_0345486 IMG_094385 IMG_2186395 IMG_2194864 IMG_2318975 IMG_234502 IMG_2349 IMG_2384063 IMG_34534953 IMG_358996 IMG_567567 IMG_804325 Info Info_Your InfoFile ItsATest Jpeg_file JPG Test Life Live LiveDie Music MusicPlayer MusicRar My Image My_Details My_Info MyImages NewEmail NewsFile Pic Test Picture0 PictureFile PictureImageFormat Pictures Porn PornFile PornPic PornZip Profiles Rared RaredDocs RaredDocuments RaredJpeg RaredMusic RaredPictures RaredPorn RaredTexts RarFile RarPorn Smoke SmokeCigg SmokeWeed Test Pic TestTest Testthis Textfile TheEmail ThisFile Tmp Docu tmpEMail tmpFiles tmpInfo0 tmpInfo1 tmpLogin tmpPics0 tmpTexts UrDetail Weed WeedCigg WeedSmoke WhoDare WinZipper Your Doc Your_Application Your_CardNumber Your_Details Your_eCard Your_Info Your_Login Your_Numbers Your_Profile Your_SignIn YourFile YourMail YourTest YourText ZipDoc ZipFile Zipped ZippedDocs ZippedFiles ZippedJpeg ZippedPictures ZippedPorn ZippedTexts vissza... A féreg által elküldött e-mail mellékletének kiterjesztése lehet: .bat .cmd .com .exe .pif .scr .zip .bat .cmd .com .exe .pif .scr .zip

---

Hátsóajtó

A vírusok, férgek egyre gyakrabban nyitnak hátsóajtót a megtámadott számítógépen. Ezzel teljes mértékben átvehetik a számítógép felügyeletét, a támadó azt csinál a számítógépen, amit csak akar: alkalmazásokat futtathat, állíthat le, állományokat tölthet le/fel, jelszavakat, hozzáférési kódokat tulajdoníthat el.

A Win32/Keco.NAA féreg a(z) 6667 . porton nyit hátsóajtót.

A Win32/Keco.NAA féreg a TCP 1025 porton nyit hátsóajtót.

A megtámadott számítógépen a hátsóajtó nyitásának egy eszköze, ha valamilyen IRC csatornán keresztül a féreg vagy vírus lehetőséget teremt a távvezérlésre. Az IRC csatornákon keresztül tovább is küldheti magát más IRC felhasználókhoz.

A Win32/Keco.NAA féreg az alábbi IRC szerverekhez csatlakozik: