Merevlemezt formatál az Atnas féreg
Kristóf Csaba,
2007. július 18. -
Vírusvédelem
Hír küldése
Az Atnas.A féreg komoly károkat okoz a fertőzött rendszereken, ugyanis törli a Windows rendszerfájljait, sőt egyes esetekben a C meghajtót is formatálja.
Az Atnas.A féreg elsősorban fájlcserélő hálózatokon keresztül terjed. A kártékony program a fájlcserélő szoftverek megosztott könyvtáraiba másolja be saját magát olyan fájlnevekkel, amelyek jól ismert alkalmazásokhoz tartoznak.
Az Atnas.A féreg számos fájlt hoz létre a kiszemelt számítógépeken, majd módosítja a regisztrációs adatbázist. Minden futó folyamatot megpróbál megfertőzni, majd elérhetetlenné teszi a Windows Feladatkezelőjét és a regisztrációs adatbázis szerkesztőjét. Ezt követően kitörli a Windows System32 könyvtárában lévő állományokat, mellyel teljesen használhatatlanná teszi az operációs rendszert. Előre meghatározott napokon pedig formatálja a C meghajtót.
Amikor az Atnas.A féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%Windir%\System32\snd32_win.exe
%Windir%\System32\winlib32.exe
%Windir%\System32\[véletlenszerűen kiválasztott szöveg][véletlenszerűen kiválasztott szöveg].exe
%Windir%\System32\wincbf.exe
%Windir%\System32\sp32load.exe
%Windir%\System32\sp32service.exe
%Windir%\System32\win_i38.exe
%Windir%\System32\whandle.dll (az aktuálisan futó folyamatok listáját tartalmazza)
%Windir%\err.msg
%Windir%\System32\santas.bitch.txt
2. A folyamatokhoz tartozó .exe kiterjesztésű fájlokat átnevezi, majd az eredeti állományokat saját magával felülírja. Így próbál meg minden folyamatot megfertőzni.
3. Átnevezi az alábbi fájlokat:
regedit.exe
msconfig.exe
taskmgr.exe
4. Fájlcserélő szoftverekhez tartozó fájlokat fertőz meg a saját állományaival.
5. Minden helyi meghajtón létrehoz egy Fuck_U_Man nevű könyvtárat.
6. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Microsoft DLL Library" = "%Windir%\System32\winlib32.exe /reg"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Windows Sound Emulator" = "%Windir%\System32\snd32_win.exe /snd"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Graphics adapter service" = "%Windir%\System32\windll.exe /w"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Santa Bastards Bitch" = "%Windir%\System32\SANTAS.BITCH.txt"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"Microsoft DLL Library" = "%Windir%\System32\winlib32.exe /reg"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"Windows Sound Emulator" = "%Windir%\System32\snd32_win.exe /snd"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"Graphics adapter service" = "%Windir%\System32\windll.exe /w"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"Santa Bastards Bitch" = "%Windir%\System32\SANTAS.BITCH.txt"
7. Jól ismert szoftverek fájlnevével bemásolja saját magát a fájlcserélő szoftverek megosztott könyvtáraiba.
8. Előre meghatározott weboldalak ellen szolgáltatásmegtagadási támadásokat kezdeményez.
9. A Windows System32 könyvtárából kitörli a fájlokat.
10. Előre meghatározott napokon formatálja a C meghajtót.
Az Atnas.A féreg számos fájlt hoz létre a kiszemelt számítógépeken, majd módosítja a regisztrációs adatbázist. Minden futó folyamatot megpróbál megfertőzni, majd elérhetetlenné teszi a Windows Feladatkezelőjét és a regisztrációs adatbázis szerkesztőjét. Ezt követően kitörli a Windows System32 könyvtárában lévő állományokat, mellyel teljesen használhatatlanná teszi az operációs rendszert. Előre meghatározott napokon pedig formatálja a C meghajtót.
Amikor az Atnas.A féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%Windir%\System32\snd32_win.exe
%Windir%\System32\winlib32.exe
%Windir%\System32\[véletlenszerűen kiválasztott szöveg][véletlenszerűen kiválasztott szöveg].exe
%Windir%\System32\wincbf.exe
%Windir%\System32\sp32load.exe
%Windir%\System32\sp32service.exe
%Windir%\System32\win_i38.exe
%Windir%\System32\whandle.dll (az aktuálisan futó folyamatok listáját tartalmazza)
%Windir%\err.msg
%Windir%\System32\santas.bitch.txt
2. A folyamatokhoz tartozó .exe kiterjesztésű fájlokat átnevezi, majd az eredeti állományokat saját magával felülírja. Így próbál meg minden folyamatot megfertőzni.
3. Átnevezi az alábbi fájlokat:
regedit.exe
msconfig.exe
taskmgr.exe
4. Fájlcserélő szoftverekhez tartozó fájlokat fertőz meg a saját állományaival.
5. Minden helyi meghajtón létrehoz egy Fuck_U_Man nevű könyvtárat.
6. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Microsoft DLL Library" = "%Windir%\System32\winlib32.exe /reg"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Windows Sound Emulator" = "%Windir%\System32\snd32_win.exe /snd"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Graphics adapter service" = "%Windir%\System32\windll.exe /w"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Santa Bastards Bitch" = "%Windir%\System32\SANTAS.BITCH.txt"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"Microsoft DLL Library" = "%Windir%\System32\winlib32.exe /reg"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"Windows Sound Emulator" = "%Windir%\System32\snd32_win.exe /snd"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"Graphics adapter service" = "%Windir%\System32\windll.exe /w"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"Santa Bastards Bitch" = "%Windir%\System32\SANTAS.BITCH.txt"
7. Jól ismert szoftverek fájlnevével bemásolja saját magát a fájlcserélő szoftverek megosztott könyvtáraiba.
8. Előre meghatározott weboldalak ellen szolgáltatásmegtagadási támadásokat kezdeményez.
9. A Windows System32 könyvtárából kitörli a fájlokat.
10. Előre meghatározott napokon formatálja a C meghajtót.
Hozzászólások