Pendrive-on lapulhat az Autill féreg
Hír küldése
Az Autill féreg elsősorban cserélhető meghajtókon és hálózati megosztásokon keresztül igyekszik terjedni.
Az Autill féreg meglehetősen egyszerű működésű, azonban ennek ellenére tud bosszúságot okozni. A kártevő ugyanis minden meghajtóra felmásolja a saját állományait. Így például a cserélhető adattárolókat sem kíméli. Arról is gondoskodik, hogy az eltávolítható meghajtók újbóli csatlakoztatásakor automatikusan be tudjon töltődni.
A féreg a fertőzött számítógépen minden .vbs kiterjesztésű állományt letöröl.
Amikor az Autill féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%DriveLetter%\%System%\killVBS.vbs
%DriveLetter%\killVBS.vbs
2. Minden írható meghajtó gyökér könyvtárába bemásol egy autorun.inf nevű állományt.
3. Amennyiben már létezik egy autorun.inf fájl, akkor azt kiegészíti a következő sorral:
shellexecute=wscript.exe killVBS.vbs
4. A regisztrációs adatbázisban módosítja az alábbi értékeket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = "%System%\userinit.exe, %System%\wscript.exe %System%\killVBS.vbs"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Window Title" = " "
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Start Page" = " "
HKEY_CLASSES_ROOT\vbsfile\"DefaultIcon" = "%SystemRoot%\System32\WScript.exe,2"
5. A regisztrációs adatbázisból kitörli a következő értéket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"MS32DLL" = "[véletlenszerű értékek]"
6. A fertőzött számítógépeken megtalálható összes .vbs kiterjesztésű állományt letörli.
Hozzászólások