Biztosra megy az Amend féreg
Kristóf Csaba,
2007. május 23. -
Vírusvédelem
Hír küldése
Az Amend.A féreg nem bíz semmit a véletlenre, ugyanis az elektronikus levelek mellett különböző cserélhető adattároló eszközök révén is igyekszik minél több számítógépet megfertőzni.
Az Amend.A féreg elsősorban elektronikus levelek mellékleteként érkezik meg a kiszemelt számítógépekre, de cserélhető meghajtókon, például pendrive-okon keresztül is meglehetősen gyorsan képes terjedni. A féreg arról is gondoskodik, hogy ezen adattárolók újbóli csatlakoztatásakor automatikusan elinduljon.
Az Amend.A rengeteg fájlt hoz étre a fertőzött rendszereken, hiszen szinte minden könyvtárba elhelyezi a saját állományát. Ezt követően módosítja a regisztrációs adatbázist, amelynek révén megváltoztat néhány windowsos alapbeállítást. Így például megpróbálja elrejteni a fájlok kiterjesztését.
Amikor az Amend.A féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%System%\msconfig.exe
%System%\regedit.exe
%System%\regedit32.com
%Windir%\Temp\internat.exe
%Windir%\Web\kav.exe
%Windir%\log.ini
%Windir%\system\[RANDOM NAME].com
%Windir%\web\[RANDOM NAME].com
%Windir%\fonts\[RANDOM NAME].com
%Windir%\temp\[RANDOM NAME].com
%Windir%\help\[RANDOM NAME].com
%Windir%\system\internat.exe
%Windir%\web\internat.exe
%Windir%\fonts\internat.exe
%Windir%\temp\internat.exe
%Windir%\help\internat.exe
%Windir%\system\kav.exe
%Windir%\web\kav.exe
%Windir%\fonts\kav.exe
%Windir%\temp\kav.exe
%Windir%\help\kav.exe
2. Minden elérhető könyvtárba létrehoz magából egy másolatot. A fájlok nevének az aktuális könyvtár nevét választja, és az állományokat exe kiterjesztéssel látja el.
3. A cserélhető meghajtók gyökér könyvtárába létrehoz egy Comand.com és egy AUTORUN.INF fájlt.
4. A regisztrációs adatbázisban létrehozza a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = "%System%\userinit.exe,regedit32.com"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\"intt" = "%Windir%\[FOLDER]\[RANDOM NAME].com"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\"AutoShareServer" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\"AutoShareWks" = "1"
5. A regisztrációs adatbázisban módosítja az alábbi bejegyzéseket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"HideFileExt" = "1"
6. Megpróbál emailek révén terjedni.
A fertőzött levelek tárgya lehet:
I love lhw
My name is lhw
A fertőzött levelek mellékletéhez tartozó fájl neve az alábbiak egyike lehet:
Document.Doc (30.5K)[86 space].com
Microsoft Visual Studio_BuG.ZIP (30.5K)[86 space].com
The best important mend of Microsoft (30.5K)[86 space].com.
Az Amend.A rengeteg fájlt hoz étre a fertőzött rendszereken, hiszen szinte minden könyvtárba elhelyezi a saját állományát. Ezt követően módosítja a regisztrációs adatbázist, amelynek révén megváltoztat néhány windowsos alapbeállítást. Így például megpróbálja elrejteni a fájlok kiterjesztését.
Amikor az Amend.A féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%System%\msconfig.exe
%System%\regedit.exe
%System%\regedit32.com
%Windir%\Temp\internat.exe
%Windir%\Web\kav.exe
%Windir%\log.ini
%Windir%\system\[RANDOM NAME].com
%Windir%\web\[RANDOM NAME].com
%Windir%\fonts\[RANDOM NAME].com
%Windir%\temp\[RANDOM NAME].com
%Windir%\help\[RANDOM NAME].com
%Windir%\system\internat.exe
%Windir%\web\internat.exe
%Windir%\fonts\internat.exe
%Windir%\temp\internat.exe
%Windir%\help\internat.exe
%Windir%\system\kav.exe
%Windir%\web\kav.exe
%Windir%\fonts\kav.exe
%Windir%\temp\kav.exe
%Windir%\help\kav.exe
2. Minden elérhető könyvtárba létrehoz magából egy másolatot. A fájlok nevének az aktuális könyvtár nevét választja, és az állományokat exe kiterjesztéssel látja el.
3. A cserélhető meghajtók gyökér könyvtárába létrehoz egy Comand.com és egy AUTORUN.INF fájlt.
4. A regisztrációs adatbázisban létrehozza a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = "%System%\userinit.exe,regedit32.com"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\"intt" = "%Windir%\[FOLDER]\[RANDOM NAME].com"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\"AutoShareServer" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\"AutoShareWks" = "1"
5. A regisztrációs adatbázisban módosítja az alábbi bejegyzéseket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"HideFileExt" = "1"
6. Megpróbál emailek révén terjedni.
A fertőzött levelek tárgya lehet:
I love lhw
My name is lhw
A fertőzött levelek mellékletéhez tartozó fájl neve az alábbiak egyike lehet:
Document.Doc (30.5K)[86 space].com
Microsoft Visual Studio_BuG.ZIP (30.5K)[86 space].com
The best important mend of Microsoft (30.5K)[86 space].com.
Hozzászólások