Távolról vezérelhető az Autook féreg
Hír küldése
Az Autook férget a támadók az Interneten keresztül, egy konfigurációs állomány segítségével vezérelhetik.
Az Autook féreg véletlenszerűen generált fájlnevek segítségével két állományt másol be a Windows System könyvtárába. Ezt követően módosítja a regisztrációs adatbázist, és az Internetről letölt egy konfigurációs fájlt. Ebben különböző weboldalak címei találhatók, amelyeket a féreg arra használ fel, hogy azokról tovább kártékony programokat töltsön le. Ezek feltelepítése után a már amúgy is fertőzött számítógépeken további káros műveletek végrehajtására kerülhet sor.
Az Autook elsősorban hálózati megosztásokon és cserélhető adattárolókon (például pendrive-okon) keresztül terjed. A féreg minden írható adattároló gyökér könyvtárába bemásolja a saját állományát, és egy olyan fájlt, amely biztosítja, hogy a meghajtók újbóli csatlakoztatása után automatikusan betöltődhessen.
Amikor az Autook féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%System%\[véletlenszerű fájlnév].DLL
%System%\[véletlenszerű fájlnév].EXE
2. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_7FBDAFA3
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\7FBDAFA3
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\7FBDAFA3
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\"ReportBootOk" = "1"
3. A regisztrációs adatbázisból kitörli a következő értékeket:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ERSvc\"ImagePath" = "*%SystemRoot%\System32\svchost.exe -k netsvcs*"
4. Interneten keresztül letölt egy konfigurációs állományt.
5. A konfigurációs állományban szereplő URL-ek alapján további kártékony programokat tölt le.
6. Az összes elérhető meghajtó gyökér könyvtárába bemásol egy auto.exe és egy autorun.inf nevű állományt.
Hozzászólások