Windows folyamatokat fertőz meg az Areses féreg
Kristóf Csaba,
2006. május 8. -
Vírusvédelem
Hír küldése
Az Areses.F féreg elsősorban elektronikus levelekben terjed, és legfőbb feladata, hogy a fertőzött számítógépeken egy hátsó kaput nyisson.
Az Areses.F elektronikus levelek útján meglehetősen gyors terjedésre képes. A szükséges email címeket a fertőzött számítógépeken található, különböző kiterjesztésű fájlokból gyűjti össze. A fertőzött levelek tárgya és üzenete is véletlenszerű szövegeket tartalmaz, míg a mellékletükben egy message.hta állomány szerepel.
Az Areses.F megpróbál számos Windows folyamatot megfertőzni, és így elrejtőzni a számítógépeken. Ezt követően nyit egy hátsó kaput egy véletlenszerűen kiválasztott TCP porton keresztül.
Amikor az Areses.F féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlt:
%Windir%\csrss.exe.
2. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Devices
kulcsához hozzáadja az
"explorer.exe" = "explorer.exe" értéket.
3. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
kulcsaihoz hozzáadja a
"Debugger" = "[a féreg elérési útvonala]" értéket.
4. Megpróbálja megfertőzni az svchost.exe és a sevices.exe folyamatokat.
5. Létrehozza a következő fájlt:
%Temp%\message.hta
6. Különböző kiterjesztésű állományokból összegyűjti az email címeket, amelyekre a saját SMTP komponensének segítségével továbbküldi saját magát. A fertőzött levelek tárgya és üzenete is véletlenszerűen összeállított szövegeket tartalmaz. Az emailek mellékletében egy message.hta nevű fájl szerepel.
7. A melléklet megnyitásakor létrehozza, majd elindítja az alábbi fájlt:
C:\ntldr.exe
8. Megpróbál előre meghatározott weboldalakhoz csatlakozni, majd azokról fájlokat tölt le.
9. Nyit egy hátsó kaput egy véletlenszerűen kiválasztott TCP porton keresztül.
Az Areses.F megpróbál számos Windows folyamatot megfertőzni, és így elrejtőzni a számítógépeken. Ezt követően nyit egy hátsó kaput egy véletlenszerűen kiválasztott TCP porton keresztül.
Amikor az Areses.F féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlt:
%Windir%\csrss.exe.
2. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Devices
kulcsához hozzáadja az
"explorer.exe" = "explorer.exe" értéket.
3. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
kulcsaihoz hozzáadja a
"Debugger" = "[a féreg elérési útvonala]" értéket.
4. Megpróbálja megfertőzni az svchost.exe és a sevices.exe folyamatokat.
5. Létrehozza a következő fájlt:
%Temp%\message.hta
6. Különböző kiterjesztésű állományokból összegyűjti az email címeket, amelyekre a saját SMTP komponensének segítségével továbbküldi saját magát. A fertőzött levelek tárgya és üzenete is véletlenszerűen összeállított szövegeket tartalmaz. Az emailek mellékletében egy message.hta nevű fájl szerepel.
7. A melléklet megnyitásakor létrehozza, majd elindítja az alábbi fájlt:
C:\ntldr.exe
8. Megpróbál előre meghatározott weboldalakhoz csatlakozni, majd azokról fájlokat tölt le.
9. Nyit egy hátsó kaput egy véletlenszerűen kiválasztott TCP porton keresztül.
Hozzászólások