Windowsos szolgáltatásokat bénít meg az Annew.A féreg
Kristóf Csaba,
2007. február 13. -
Vírusvédelem
Hír küldése
Az Annew.A féreg meglehetősen sok módosítást végez a kiszemelt számítógépeken, majd megpróbálja megbénítani a Windows egyes szolgáltatásait, illetve alkalmazásait.
Az Annew.A féreg elsősorban cserélhető adathordozók révén terjed. A féreg ezeken egy olyan állományt is létrehoz, amelynek révén az adathordozó csatlakoztatásakor automatikusan elindul. Amint ez megtörténik, akkor számos fájlt létrehoz a rendszermeghajtón, majd módosítja a regisztrációs adatbázist. Ezzel többek között kikapcsolja a Windows rendszervisszaállító funkcióját.
A féreg ezt követően elkezd "látványos" műveleteket végezni. Így például hamis hibaüzenetet jelenít meg, majd megváltoztatja az ablakok címsorában szereplő szövegeket, valamint alkalmazásokhoz tartozó folyamatokat állít le.
Amikor az Annew féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Quick Launch.exe
%CommonProgramFiles%\default.exe
%System%\msnmsgr.exe
%Windir%\msdos.pif
%SystemDrive%\[fájl név].exe
2. %SystemDrive%\[fájl név].exe állományt annyiszor másolja le más-más néven, ahányszor a féreg elindul.
3. A cserélhető lemezeken létrehoz egy autorun.inf fájlt, amely biztosítja, hogy az adathordozó számítógépekhez való csatlakoztatásakor a féreg automatikusan elinduljon.
4. A regisztrációs adatbázisban létrehozza a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe %windir%\msdos.pif"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"MsnMsgr" = "%System%\msnmsgr.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"MsnMsgr" = "C:\WINDOWS\system32\msnmsgr.exe"
5. Módosítja a regisztrációs adatbázis alábbi bejegyzéseit:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System\"DisableRegistryTools" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System\"DisableCMD" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System\"DisableTaskMgr" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableRegistryTools" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableCMD" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableTaskMgr" = "1"
6. Módosítja a regisztrációs adatbázis alábbi bejegyzéseit:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\"DisableConfig" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\"DisableSR" = "1"
Ezzel kikapcsolja a Windows System Restore funkcióját.
7. Módosítja a regisztrációs adatbázis következő bejegyzéseit:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFolderOptions" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"Norun" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFind" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoSetFolders" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoLogoff" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"HideFileExt" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"HideFileExt" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "0"
8. Megjelenít egy hibaüzenetet "Application Error" címsorral, és "0xFFFFFFFF" üzenettel.
9. Minden ablak címsorába elhelyezi a következő szöveget:
[^_^Anti Antivirus^_^]
10. Leállítja azokat a folyamatokat, amelyek nevében szerepelnek az alábbi szavak:
cmd
mconfig
task
Proc
Hex
Spy.
A féreg ezt követően elkezd "látványos" műveleteket végezni. Így például hamis hibaüzenetet jelenít meg, majd megváltoztatja az ablakok címsorában szereplő szövegeket, valamint alkalmazásokhoz tartozó folyamatokat állít le.
Amikor az Annew féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Quick Launch.exe
%CommonProgramFiles%\default.exe
%System%\msnmsgr.exe
%Windir%\msdos.pif
%SystemDrive%\[fájl név].exe
2. %SystemDrive%\[fájl név].exe állományt annyiszor másolja le más-más néven, ahányszor a féreg elindul.
3. A cserélhető lemezeken létrehoz egy autorun.inf fájlt, amely biztosítja, hogy az adathordozó számítógépekhez való csatlakoztatásakor a féreg automatikusan elinduljon.
4. A regisztrációs adatbázisban létrehozza a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe %windir%\msdos.pif"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"MsnMsgr" = "%System%\msnmsgr.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"MsnMsgr" = "C:\WINDOWS\system32\msnmsgr.exe"
5. Módosítja a regisztrációs adatbázis alábbi bejegyzéseit:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System\"DisableRegistryTools" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System\"DisableCMD" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System\"DisableTaskMgr" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableRegistryTools" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableCMD" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableTaskMgr" = "1"
6. Módosítja a regisztrációs adatbázis alábbi bejegyzéseit:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\"DisableConfig" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\"DisableSR" = "1"
Ezzel kikapcsolja a Windows System Restore funkcióját.
7. Módosítja a regisztrációs adatbázis következő bejegyzéseit:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFolderOptions" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"Norun" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFind" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoSetFolders" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoLogoff" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"HideFileExt" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"HideFileExt" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "0"
8. Megjelenít egy hibaüzenetet "Application Error" címsorral, és "0xFFFFFFFF" üzenettel.
9. Minden ablak címsorába elhelyezi a következő szöveget:
[^_^Anti Antivirus^_^]
10. Leállítja azokat a folyamatokat, amelyek nevében szerepelnek az alábbi szavak:
cmd
mconfig
task
Proc
Hex
Spy.
Hozzászólások