Közösségépítő féreg

A Koobface.B féreg számos fájlt hoz létre a fertőzött számítógépeken, és módosítja a regisztrációs adatbázist. Ez utóbbi révén elsősorban arról gondoskodik, hogy a Windows minden egyes újraindulásakor automatikusan be tudjon töltődni.

Amint a féreg elindul, egy feltűnő képet jelenít meg, így egyértelműen kijelenthető, hogy a rejtőzködés nem a legfontosabb céljai közé tartozik. Ehelyett inkább további számítógépes kártevőket, például hátsó kapukat létesítő trójai programokat töltöget le az Interneten keresztül. Módosítja a Windows hosts fájlját, és ezzel számos weboldalt tesz elérhetetlenné a fertőzött PC-kről.

A McAfee elemzése szerint a Koobface egy codec formájában terjed, és legtöbbször codecsetup.exe néven bukkan fel. A féreg elsősorban a Facebook valamint a MySpace szolgáltatásait használja ki a terjedéséhez, miközben kártékony weboldalakra mutató üzeneteket küldözget.

Amikor a Koobface.B elindul, akkor az alábbi műveleteket hajtja végre:

1. Egy képet tölt le egy előre meghatározott weboldalról, amelyet megjelenít a felhasználó számára.

2. Előre meghatározott távoli szerverekről további kártékony programokat tölt le. Ezek között megtalálható például a hátsó kaput létesítő BackDoor-AWQ.b trójai is.

3. Létrehozza a következő fájlokat:
%WinDir% \system32\splm\kbdsapi.dll
%WinDir% \system32\splm\lmfunit32.dll
%WinDir% \system32\splm\mcaserv32.dll
%WinDir% \system32\splm\ncsjapi32.exe
%WinDir%\system32\nScan\ecls.exe
%WinDir%\system32\nScan\ekrn.exe
%WinDir%\system32\nScan\ekrnAmon.dll
%WinDir%\system32\nScan\ekrnEmon.dll
%WinDir%\system32\nScan\ekrnEpfw.dll
%WinDir%\system32\nScan\ekrnScan.dll
%WinDir%\system32\nScan\em000_32.dat
%WinDir%\system32\nScan\em001_32.dat
%WinDir%\validate.inf

4. A regisztrációsa adatbázishoz hozzáadja a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\Intelli Mouse Pro Version 2.0B\StubPath: "%WinDir% \System32\splm\ncsjapi32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\*Intelli Mouse Pro Version 2.0B*: "%WinDir% \System32\splm\ncsjapi32.exe"
HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden: "2"
HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run\Intelli Mouse Pro Version 2.0B: "%WinDir% \System32\splm\ncsjapi32.exe"
HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\RunOnce\*Intelli Mouse Pro Version 2.0B*: "%WinDir% \System32\splm\ncsjapi32.exe"
HKEY_USERS\Software\Microsoft\Windows\nScan32\ExecuteDate: "14\8\2008"

5. Módosítja a Windows hosts fájlját, és ezzel különböző weboldalakat tesz elérhetetlenné.

6. Megpróbál a Facebook, illetve a MySpace szolgáltatásain keresztül terjedni.

7. Létrehozza a következő fájlokat:
C:\WINDOWS\fbtre6.exe
C:\WINDOWS\mstre6.exe
C:\WINDOWS\f49f4d98.dat
C:\WINDOWS\t49f4d98.dat
C:\WINDOWS\fmark2.dat
C:\WINDOWS\tmark2.dat

8. Távoli szerverekhez kapcsolódik az Interneten keresztül.