Areses vírus: fő a változatosság
Kristóf Csaba,
2006. április 7. -
Vírusvédelem
Hír küldése
Az elektronikus levelek mellékletében terjedő Areses.A nevű féreg a véletlenszerűen generált fájlnevekkel rendelkező állományai, és a változatos tartalommal ellátott fertőzött emailjei révén próbál számítógépeket megfertőzni.
Az Areses.A féreg elsősorban elektronikus levelek mellékleteként érkezik meg a kiszemelt számítógépekre. A féreg egy saját SMTP komponenssel rendelkezik, amelynek segítségével küldi tovább magát a fertőzött számítógépek fájljaiban található email címekre.
A féreg véletlenszerűen generált fájlneveket alkalmaz, és az emailjeit is véletlenszerűen állítja össze. Az Areses.A egy szintén véletlenszerűen kiválasztott TCP porton egy hátsó kaput is nyit a támadók számára, és megfertőz számos rendszerfolyamatot.
Amikor az Areses.A elindul, akkor az alábbi műveleteket hajtja végre:
1. Bemásolja magát a Windows könyvtárába csrss.exe néven.
2. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Devices
kulcsához hozzáadja az
"explorer.exe" = "explorer.exe" értéket.
3. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
kulcsához hozzáadja a
"Debugger" = "[féreg elérési útvonala]" értéket.
4. Megpróbálja megfertőzni az svchost.exe és a sevices.exe folyamatokat.
5. Különböző kiterjesztésű fájlokból összegyűjti az email címeket.
6. A saját SMTP komponensének segítségével elektronikus levelekben továbbküldi saját magát.
A fertőzött levelek tárgya véletlenszerűen generált karaktereket tartalmaz csakúgy, mint a mellékletben szereplő fájl neve. A fertőzött állomány kiterjesztése az alábbi listából kerül ki:
.cab
.doc
.txt
.avi
.mpeg
7. Nyit egy hátsó kaput egy véletlenszerűen kiválasztott TCP porton keresztül
8. Megnyit egy weboldalt, és feltölt rá egy fájlt, majd bezárja az összes Internet Explorer ablakot.
A féreg véletlenszerűen generált fájlneveket alkalmaz, és az emailjeit is véletlenszerűen állítja össze. Az Areses.A egy szintén véletlenszerűen kiválasztott TCP porton egy hátsó kaput is nyit a támadók számára, és megfertőz számos rendszerfolyamatot.
Amikor az Areses.A elindul, akkor az alábbi műveleteket hajtja végre:
1. Bemásolja magát a Windows könyvtárába csrss.exe néven.
2. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Devices
kulcsához hozzáadja az
"explorer.exe" = "explorer.exe" értéket.
3. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
kulcsához hozzáadja a
"Debugger" = "[féreg elérési útvonala]" értéket.
4. Megpróbálja megfertőzni az svchost.exe és a sevices.exe folyamatokat.
5. Különböző kiterjesztésű fájlokból összegyűjti az email címeket.
6. A saját SMTP komponensének segítségével elektronikus levelekben továbbküldi saját magát.
A fertőzött levelek tárgya véletlenszerűen generált karaktereket tartalmaz csakúgy, mint a mellékletben szereplő fájl neve. A fertőzött állomány kiterjesztése az alábbi listából kerül ki:
.cab
.doc
.txt
.avi
.mpeg
7. Nyit egy hátsó kaput egy véletlenszerűen kiválasztott TCP porton keresztül
8. Megnyit egy weboldalt, és feltölt rá egy fájlt, majd bezárja az összes Internet Explorer ablakot.
Hozzászólások