Futtatható állományokat fertőz az Almanahe féreg
Kristóf Csaba,
2007. április 16. -
Vírusvédelem
Hír küldése
Az Almanahe.A féreg hálózati megosztásokon, illetve cserélhető meghajtókon keresztül meglehetősen gyorsan terjed, és komoly károkat tud okozni a fertőzött számítógépeken.
Az Almanahe.A féreg jól ismert folyamatokat igyekszik megfertőzni annak érdekében, hogy ezek mögé elrejtőzve végezhesse kártékony tevékenységét. A féreg elsősorban az explorer.exe és az ixplore.exe révén létrehozott folyamatokat veszi célba. A Windowsban létrehoz egy "SynTPS" nevű szolgáltatást, majd elkezdi megfertőzni az összes futtatható állományt.
Az Almanahe.A elsősorban helyi hálózatokon, illetve cserélhető adattároló eszközökön, például pendrive-okon próbál terjedni.
Amikor az Almanahe.A féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományokat:
%Windir%\AppPatch\deamon.dll
%Windir%\c_[véletlenszerű karakterek].nls
%Windir%\system32\drivers\SynTPS.sys
2. A regisztrációs adatbázisban létrehozza az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C111980D-B372-44b4-8095-1B6060E8C647}\InprocServer32\"(Default)" = "C:\WINDOWS\AppPatch\deamon.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C111980D-B372-44b4-8095-1B6060E8C647}\ThreadingModel\"(Default)" = "Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Miscrosoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\"DL5" = "{C111980D-B372-44b4-8095-1B6060E8C647}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynTPS
3. Létrehoz egy "SynTPS" nevű szolgáltatást.
4. A deamon.dll állomány révén megfertőzi az explorer.exe állományt.
5. Megfertőzi az iexplore.exe által létrehozott folyamatot.
6. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a rendszerben.
7. Leállítja a biztonsági szoftverekhez tartozó folyamatokat.
8. Kapcsolódik egy weboldalhoz, és értesíti a támadókat a fertőzés tényéről.
9. Az összes futtatható állományt megfertőzi, és megpróbál hálózati megosztásokon, illetve cserélhető adattárolókon terjedni.
Az Almanahe.A elsősorban helyi hálózatokon, illetve cserélhető adattároló eszközökön, például pendrive-okon próbál terjedni.
Amikor az Almanahe.A féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományokat:
%Windir%\AppPatch\deamon.dll
%Windir%\c_[véletlenszerű karakterek].nls
%Windir%\system32\drivers\SynTPS.sys
2. A regisztrációs adatbázisban létrehozza az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C111980D-B372-44b4-8095-1B6060E8C647}\InprocServer32\"(Default)" = "C:\WINDOWS\AppPatch\deamon.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C111980D-B372-44b4-8095-1B6060E8C647}\ThreadingModel\"(Default)" = "Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Miscrosoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\"DL5" = "{C111980D-B372-44b4-8095-1B6060E8C647}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynTPS
3. Létrehoz egy "SynTPS" nevű szolgáltatást.
4. A deamon.dll állomány révén megfertőzi az explorer.exe állományt.
5. Megfertőzi az iexplore.exe által létrehozott folyamatot.
6. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a rendszerben.
7. Leállítja a biztonsági szoftverekhez tartozó folyamatokat.
8. Kapcsolódik egy weboldalhoz, és értesíti a támadókat a fertőzés tényéről.
9. Az összes futtatható állományt megfertőzi, és megpróbál hálózati megosztásokon, illetve cserélhető adattárolókon terjedni.
Hozzászólások