Fájlcserélőkön terjed az Antinny féreg
Kristóf Csaba,
2006. január 30. -
Vírusvédelem
Hír küldése
Az Antinny.AX féreg elsősorban fájlcserélő hálózatokon keresztül terjed, és a fertőzött számítógépekről szolgáltatásmegtagadási támadásokat kezdeményez egyes weboldalak ellen.
Az Antinny.AX féreg eddig fájlcserélő hálózatokon bukkant fel. A féreg legfőbb célja, hogy a megfertőzött számítógépekről szolgáltatásmegtagadási (DoS) támadásokat indítson előre meghatározott weboldalak ellen. Emellett a féreg alkalmas arra, hogy a fertőzött rendszerekről bizalmas adatokat gyűjtsön össze, és azokat Interneten keresztül továbbítsa.
Amikor az Antinny.AX elindul, akkor az alábbi műveleteket hajtja végre:
1. Bemásolja magát a Windows System könyvtárába svchost.exe néven
2.A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
kulcsához hozzáadja a
"Windows Security Manager" = "%System%\Microsoft\svchost.exe -c -ax" értéket.
3. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
kulcsához hozzáadja a
"DisableSR" = "1" értéket.
4. Létrehozza a következő fájlt:
%Windir%\svdat.m1v
5. Létrehozza az alábbi rejtett könyvtárakat:
%Temp%\4407A9BE6535\6A8C9B51993A
%Temp%\4407A9BE6535\773232357FF9
6. Megvizsgálja, hogy van-e a számítógépen Winny fájlcserélő program, és ha talál ilyet, akkor módosítja az UpFolder.txt állományt.
7. Megkeresi azokat a fájlokat, amelyek kiterjesztése:
.doc
.xls
.eml
.ppt
.dbx
.txt
.pdf
8. Fájllistát készít a következő könyvtárakról:
%UserProfile%\Favorites
%UserProfile%\Recent
%UserProfile%\Local Settings\Application Data\[RANDOM]\Identities\[RANDOM]\Microsoft\Outlook Express
9. A fentiekben magtalált fájlokat összetömöríti egy zip állományba, és elmenti a következők szerint:
%Temp%\4407A9BE6535\773232357FF9\[JAPANESE TEXT][USER NAME][JAPANESE TEXT].zip
10. A saját állományait betömöríti, és elmenti a következő könyvtárba:
%Temp%\4407A9BE6535\773232357FF9.
11. Létrehoz a Windows Temp könyvtárjába egy sttemp.exe fájlt, majd lefuttatja azt. Ez a fájl egy Sientok nevű trójait tartalmaz.
12. Létrehozza az alábbi állományokat:
%System%\winsm.exe
%System%\ms[RANDOM].exe
13. Létrehoz egy WindowsSecurityManager nevű szolgáltatást.
14. Létrehozza a következő bejegyzéseket a regisztrációs adatbázisban:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\"WindowsSecurityManager"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\"WindowsSecurityManager"
15. Amennyiben a rendszerdátum a hónap első hétfőjét mutatja, akkor szolgáltatásmegtagadási támadást indít a következő weboldalak ellen:
[http://]www.accsjp/[...]/.or.jp
[http://]www2.accsjp/[...]/.or.jp.
Amikor az Antinny.AX elindul, akkor az alábbi műveleteket hajtja végre:
1. Bemásolja magát a Windows System könyvtárába svchost.exe néven
2.A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
kulcsához hozzáadja a
"Windows Security Manager" = "%System%\Microsoft\svchost.exe -c -ax" értéket.
3. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
kulcsához hozzáadja a
"DisableSR" = "1" értéket.
4. Létrehozza a következő fájlt:
%Windir%\svdat.m1v
5. Létrehozza az alábbi rejtett könyvtárakat:
%Temp%\4407A9BE6535\6A8C9B51993A
%Temp%\4407A9BE6535\773232357FF9
6. Megvizsgálja, hogy van-e a számítógépen Winny fájlcserélő program, és ha talál ilyet, akkor módosítja az UpFolder.txt állományt.
7. Megkeresi azokat a fájlokat, amelyek kiterjesztése:
.doc
.xls
.eml
.ppt
.dbx
.txt
8. Fájllistát készít a következő könyvtárakról:
%UserProfile%\Favorites
%UserProfile%\Recent
%UserProfile%\Local Settings\Application Data\[RANDOM]\Identities\[RANDOM]\Microsoft\Outlook Express
9. A fentiekben magtalált fájlokat összetömöríti egy zip állományba, és elmenti a következők szerint:
%Temp%\4407A9BE6535\773232357FF9\[JAPANESE TEXT][USER NAME][JAPANESE TEXT].zip
10. A saját állományait betömöríti, és elmenti a következő könyvtárba:
%Temp%\4407A9BE6535\773232357FF9.
11. Létrehoz a Windows Temp könyvtárjába egy sttemp.exe fájlt, majd lefuttatja azt. Ez a fájl egy Sientok nevű trójait tartalmaz.
12. Létrehozza az alábbi állományokat:
%System%\winsm.exe
%System%\ms[RANDOM].exe
13. Létrehoz egy WindowsSecurityManager nevű szolgáltatást.
14. Létrehozza a következő bejegyzéseket a regisztrációs adatbázisban:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\"WindowsSecurityManager"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\"WindowsSecurityManager"
15. Amennyiben a rendszerdátum a hónap első hétfőjét mutatja, akkor szolgáltatásmegtagadási támadást indít a következő weboldalak ellen:
[http://]www.accsjp/[...]/.or.jp
[http://]www2.accsjp/[...]/.or.jp.
Hozzászólások