Rengeteg módosítást végez az Ahker féreg
Kristóf Csaba,
2005. január 27. -
Vírusvédelem
Hír küldése
Az elektronikus leveleken keresztül terjedő W32.Ahker.B@mm féreg kikapcsolja a Windows egyes biztonsági szolgáltatásait.
A W32.Ahker.B@mm féreg a Windows címjegyzékéből gyűjti össze azokat az email címeket, amelyekre továbbküldi magát. A féreg számos módosítást eszközöl a fertőzött számítógépeken, amelyek hatására a Windows néhány biztonsági funkciója is kikapcsol.
A W32.Ahker.B@mm további ismert neve: WORM_AHKER.B [Trend Micro].
Amikor a W32.Ahker.B@mm féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Bemásolja magát az alábbi könyvtárakba:
%Windir%\SERVICES.exe
%User Profile%\Start Menu\Programs\Startup\SERVICES.exe
2. A C meghajtó gyökér könyvtárába létrehoz egy ártalmatlan "Norton Antivirus.txt" nevű fájlt.
3. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\Run
kulcsához hozzáadja a
"Norton Auto-Protect" = "SERVICES.exe" értéket.
4. A regisztrációs adatbázis
HKEY_CLASSES_ROOT\txtfile\shell\open\command
HKEY_LOCAL_MACHINE\txtfile\shell\open\command
kulcsaihoz hozzáadja a
[default] = "SERVICES.EXE %1" értéket.
5, Létrehozza az alábbi bejegyzéseket a regisztrációs adatbázisba:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ System\"DisableTaskMgr" = "dword:00000001"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ System\"DisableRegistryTools" = "dword:00000001"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\"NoRun" = "dword:00000001"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\"DisallowRun" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\DisallowRun\"1" = "regedit.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\DisallowRun\"2" = "notepad.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\DisallowRun\"3" = "wordpad.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\DisallowRun\"4" = "write.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\DisallowRun\"5" = "wuauclt.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\DisallowRun\"6" = "wupdmgr.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\DisallowRun\"7" = "C:\Program Files\MSN Messenger\msnmsgr.exe"
Ezzel megakadályozza a következő népszerű programok futását:
Task Manager
Registry Editor
Notepad
Wordpad
Windows Update
MSN Messenger
6. Létrehozza az alábbi bejegyzéseket a regisztrációs adatbázisba:
HKEY_LOCAL_MACHINE\Software\Microsoft\windows NT\CurrentVersion\systemrestore\"DisableSR" = "dword:00000001"
HKEY_CURRENT_USER\Software\Microsoft\windows NT\CurrentVersion\ systemrestore\"DisableSR" = "dword:00000001"
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\ WindowsUpdate\ AU\"NoAutoUpdate" = "dword:00000001"
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\ WindowsUpdate\ AU\"NoAutoUpdate" = "dword:00000001"
HKEY_LOCAL_MACHINE\Software\Microsoft\security center\ "UpdatesDisableNotify" = "dword:00000001"
HKEY_CURRENT_USER\Software\Microsoft\security center\ "UpdatesDisableNotify" = "dword:00000001"
HKEY_LOCAL_MACHINE\Software\Microsoft\security center\ "FirewallDisableNotify" = "dword:00000001"
HKEY_CURRENT_USER\Software\Microsoft\security center\ "FirewallDisableNotify" = "dword:00000001"
HKEY_LOCAL_MACHINE\Software\Microsoft\security center\ "AntiVirusDisableNotify" = "dword:00000001"
HKEY_CURRENT_USER\Software\Microsoft\security center\ "AntiVirusDisableNotify" = "dword:00000001"
Ezzel kikapcsolja a Windows beépített tűzfalát és az automatikus frissítéshez kapcsolódó szolgáltatásokat.
7. Létrehozza az alábbi bejegyzéseket a regisztrációs adatbázisba:
HKEY_CLASSES_ROOT\RDP.File\"Friendlytypename" = "@SERVICES.exe, -4004"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\RDP.File\"Friendlytypename" = "@SERVICES.exe, -4004"
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\app paths\LUALL.exe\[default] = "SERVICES.exe"
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices-\"Windows Service" = "SERVICES.exe"
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\windowsupdate\auto update\[default] = "SERVICES.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Agent Hacker\[default] = "W32.Ahker.B@mm"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Agent Hacker\"Version" = "B"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Agent Hacker\"Coded In" = "Visual Basic 6.0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Agent Hacker\"Coded By = "Agent Hacker"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Agent Hacker\"Spread" = "VIA Outlook"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Agent Hacker\"Exploit" = "Symantec Norton Antivirus Script Blocker Denial Of Service Vulnerability"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ ActiveComputerName\ComputerName = "Agent Hacker"
HKEY_LOCAL_MACHINE\software\Microsoft\ windowsnt\currentversion\"ProductId" = "Agent Hacker"
HKEY_LOCAL_MACHINE\system\wpa\ Key-MGM9K8XQ2GHRBGTP2TR93\"ProductID" = "Agent Hacker"
8. Leállítja az antivírus szoftverekhez és a biztonsági alkalmazásokhoz tartozó folyamatokat.
9. A hosts fájlhoz sorokat fűz hozzá.
10. Az Internetről letölt egy ahkerb.zip nevű fájlt, és bemásolja Fix_SP2.zip néven a C meghajtó gyökér könyvtárába.
11. A Windows címjegyzékében található email címekre továbbküldi magát.
A fertőzött levelek tárgya: Service Pack 2 BUG!!
A fertőzött levelek mellékletében található fájl neve:Fix_SP2.zip
12. Letörli a C:\Fix_SP2.zip állományt.
A W32.Ahker.B@mm további ismert neve: WORM_AHKER.B [Trend Micro].
Amikor a W32.Ahker.B@mm féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Bemásolja magát az alábbi könyvtárakba:
%Windir%\SERVICES.exe
%User Profile%\Start Menu\Programs\Startup\SERVICES.exe
2. A C meghajtó gyökér könyvtárába létrehoz egy ártalmatlan "Norton Antivirus.txt" nevű fájlt.
3. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\Run
kulcsához hozzáadja a
"Norton Auto-Protect" = "SERVICES.exe" értéket.
4. A regisztrációs adatbázis
HKEY_CLASSES_ROOT\txtfile\shell\open\command
HKEY_LOCAL_MACHINE\txtfile\shell\open\command
kulcsaihoz hozzáadja a
[default] = "SERVICES.EXE %1" értéket.
5, Létrehozza az alábbi bejegyzéseket a regisztrációs adatbázisba:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ System\"DisableTaskMgr" = "dword:00000001"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ System\"DisableRegistryTools" = "dword:00000001"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\"NoRun" = "dword:00000001"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\"DisallowRun" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\DisallowRun\"1" = "regedit.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\DisallowRun\"2" = "notepad.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\DisallowRun\"3" = "wordpad.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\DisallowRun\"4" = "write.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\DisallowRun\"5" = "wuauclt.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\DisallowRun\"6" = "wupdmgr.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\DisallowRun\"7" = "C:\Program Files\MSN Messenger\msnmsgr.exe"
Ezzel megakadályozza a következő népszerű programok futását:
Task Manager
Registry Editor
Notepad
Wordpad
Windows Update
MSN Messenger
6. Létrehozza az alábbi bejegyzéseket a regisztrációs adatbázisba:
HKEY_LOCAL_MACHINE\Software\Microsoft\windows NT\CurrentVersion\systemrestore\"DisableSR" = "dword:00000001"
HKEY_CURRENT_USER\Software\Microsoft\windows NT\CurrentVersion\ systemrestore\"DisableSR" = "dword:00000001"
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\ WindowsUpdate\ AU\"NoAutoUpdate" = "dword:00000001"
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\ WindowsUpdate\ AU\"NoAutoUpdate" = "dword:00000001"
HKEY_LOCAL_MACHINE\Software\Microsoft\security center\ "UpdatesDisableNotify" = "dword:00000001"
HKEY_CURRENT_USER\Software\Microsoft\security center\ "UpdatesDisableNotify" = "dword:00000001"
HKEY_LOCAL_MACHINE\Software\Microsoft\security center\ "FirewallDisableNotify" = "dword:00000001"
HKEY_CURRENT_USER\Software\Microsoft\security center\ "FirewallDisableNotify" = "dword:00000001"
HKEY_LOCAL_MACHINE\Software\Microsoft\security center\ "AntiVirusDisableNotify" = "dword:00000001"
HKEY_CURRENT_USER\Software\Microsoft\security center\ "AntiVirusDisableNotify" = "dword:00000001"
Ezzel kikapcsolja a Windows beépített tűzfalát és az automatikus frissítéshez kapcsolódó szolgáltatásokat.
7. Létrehozza az alábbi bejegyzéseket a regisztrációs adatbázisba:
HKEY_CLASSES_ROOT\RDP.File\"Friendlytypename" = "@SERVICES.exe, -4004"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\RDP.File\"Friendlytypename" = "@SERVICES.exe, -4004"
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\app paths\LUALL.exe\[default] = "SERVICES.exe"
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices-\"Windows Service" = "SERVICES.exe"
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\windowsupdate\auto update\[default] = "SERVICES.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Agent Hacker\[default] = "W32.Ahker.B@mm"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Agent Hacker\"Version" = "B"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Agent Hacker\"Coded In" = "Visual Basic 6.0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Agent Hacker\"Coded By = "Agent Hacker"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Agent Hacker\"Spread" = "VIA Outlook"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Agent Hacker\"Exploit" = "Symantec Norton Antivirus Script Blocker Denial Of Service Vulnerability"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ ActiveComputerName\ComputerName = "Agent Hacker"
HKEY_LOCAL_MACHINE\software\Microsoft\ windowsnt\currentversion\"ProductId" = "Agent Hacker"
HKEY_LOCAL_MACHINE\system\wpa\ Key-MGM9K8XQ2GHRBGTP2TR93\"ProductID" = "Agent Hacker"
8. Leállítja az antivírus szoftverekhez és a biztonsági alkalmazásokhoz tartozó folyamatokat.
9. A hosts fájlhoz sorokat fűz hozzá.
10. Az Internetről letölt egy ahkerb.zip nevű fájlt, és bemásolja Fix_SP2.zip néven a C meghajtó gyökér könyvtárába.
11. A Windows címjegyzékében található email címekre továbbküldi magát.
A fertőzött levelek tárgya: Service Pack 2 BUG!!
A fertőzött levelek mellékletében található fájl neve:Fix_SP2.zip
12. Letörli a C:\Fix_SP2.zip állományt.
Hozzászólások