Biztonsági szoftvereket hatástalanító féreg
Kristóf Csaba,
2006. július 30. -
Vírusvédelem
Hír küldése
Az Amirecivel.H féreg a védelmi szoftverek hatástalanítása mellett a fertőzött számítógépekről elérhetetlenné teszi a biztonsági cégek weboldalait, és megakadályozza frissítések letöltését.
Az Amirecivel.H féreg elektronikus levelek útján meglehetősen gyorsan terjed. A terjedéséhez szükséges email címeket különböző kiterjesztésű állományokból gyűjti össze. A féreg legnagyobb veszélye, hogy hatástalanítja a biztonsági szoftverekhez tartozó folyamatokat, és ezzel tovább kártékony programoknak illetve támadásoknak teszi ki az amúgy is fertőzött számítógépeket. Az Amirecivel.H féreg olyan módosításokat is végez, amelyek hatására a fertőzött rendszerekről elérhetetlenné válik a biztonsági cégek weboldala.
Amikor az Amirecivel.H elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományt:
%System%\AcroTray32.exe
2. Létrehoz egy "AmirCivil" nevű mutexet.
3. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
kulcsához hozzáadja az
"AmirCivil" = %System%\AcroTray32.exe" értéket.
4. Különböző kiterjesztésű fájlokból összegyűjti az email címeket, amelyekre továbbküldi saját magát.
A fertőzött emailek tárgya lehet:
irvirus
symantec
FBI
irvanvig
NOD32
IranSare2008
Announcement
password
simorgh-ev
Your IP was logged
Read it immediately!
Attention
E-mail account disabling warning
Returned Mail
Soccer funs in public place
IHS
IRNA
hello
ANTI VIRUS
5. Gyakran használt kiterjesztéssel rendelkező állományokat keres, és azok fájlnevével, valamint exe kiterjesztéssel elkezdi saját magát másolgatni.
6. A regisztrációs adatbázisból kitörli az alábbi kulcsot:
HKEY_CURRENT_USER\Printers
7. Biztonsági szoftverekhez tartozó folyamatokat állít le.
8. A hosts fájlhoz sorokat fűz hozzá, és ezzel a fertőzött számítógépekről elérhetetlenné teszi számos biztonsági cég weboldalát.
9. Nyit egy hátsó kaput egy véletlenszerűen kiválasztott TCP porton.
Amikor az Amirecivel.H elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományt:
%System%\AcroTray32.exe
2. Létrehoz egy "AmirCivil" nevű mutexet.
3. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
kulcsához hozzáadja az
"AmirCivil" = %System%\AcroTray32.exe" értéket.
4. Különböző kiterjesztésű fájlokból összegyűjti az email címeket, amelyekre továbbküldi saját magát.
A fertőzött emailek tárgya lehet:
irvirus
symantec
FBI
irvanvig
NOD32
IranSare2008
Announcement
password
simorgh-ev
Your IP was logged
Read it immediately!
Attention
E-mail account disabling warning
Returned Mail
Soccer funs in public place
IHS
IRNA
hello
ANTI VIRUS
5. Gyakran használt kiterjesztéssel rendelkező állományokat keres, és azok fájlnevével, valamint exe kiterjesztéssel elkezdi saját magát másolgatni.
6. A regisztrációs adatbázisból kitörli az alábbi kulcsot:
HKEY_CURRENT_USER\Printers
7. Biztonsági szoftverekhez tartozó folyamatokat állít le.
8. A hosts fájlhoz sorokat fűz hozzá, és ezzel a fertőzött számítógépekről elérhetetlenné teszi számos biztonsági cég weboldalát.
9. Nyit egy hátsó kaput egy véletlenszerűen kiválasztott TCP porton.
Hozzászólások