Mindent bevet az Ackpra féreg
Hír küldése
Az Ackpra.A féreg számos módszer felhasználásával fertőz, ezért meglehetősen gyorsan terjed.
Az Ackpra.A féreg számos módszer felhasználásával fertőz, ezért meglehetősen gyorsan terjed.
Az Ackpra.A féreg a fertőzött számítógépek regisztrációs adatbázisába rengeteg módosítást végez, ami az eltávolítását is nagymértékben megnehezíti. A féreg egy RESSDT nevű windowsos szolgáltatás révén gondoskodik arról, hogy az operációs rendszer minden indulásakor automatikusan betöltődjön. Ezt követően elkezdi a további terjedését előkészíteni. Ennek megfelelően bemásolja magát a hálózati megosztásokba, és minden olyan meghajtó gyökér könyvtárába, amelyek számára írhatók. A kártevő természetesen a cserélhető meghajtókat, így például a pendrive-okat sem kíméli.
Az Ackpra.A a fertőzött számítógépről minden Ghost fájlt letöröl, majd a webes állományok módosításával kezd el foglalatoskodni. Ezekhez egy iframe kódot fűz hozzá, és ezzel eléri, hogy a fájlok megjelenítésekor egy rosszindulatú weboldal is megjelenjen, amelyről további kártékony kódok tudnak letöltődni.
Amikor az Ackpra.A féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%System%\calc.exe
%System%\winlogon.dll
C:\EnumHost.txt
C:\EnumHostWw.txt
C:\RESSDT.sys
2. A regisztrációs adatbázisba új bejegyzéseket hoz létre:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"calc.exe" = "%System%\calc.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Winlogon\"DllName" = "%System%\winlogon.dll"
3. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
kulcsához további értékeket ad hozzá.
4. Módosítja a regisztrációs adatbázis következő értékét:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue" = "0"
5. A regisztrációs adatbázisból kitörli az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
6. Létrehoz egy RESSDT nevű windowsos szolgáltatást.
7. Interneten keresztül különböző fájlokat tölt le.
8. Megkeresi és letörli azokat az állományokat, amelyek a következő kiterjesztések valamelyikével rendelkeznek:
GHO
Gho
gho
9. Megkeresi azokat a fájlokat, amelyek az alábbi kiterjesztések valamelyikével rendelkeznek, majd azokhoz egy iframe kódot fűz hozzá.
jsp
php
aspx
asp
HTM
htm
HTML
html
10. Minden írható meghajtó gyökér könyvtárába bemásol egy HDM.exe és egy autorun.inf nevű fájlt.
11. Bemásolja magát a megosztott könyvtárakba.
Hozzászólások