A Prolaco.BC féreg semmit nem bíz a véletlenre, hiszen cserélhető meghajtókon, fájlcserélő hálózatokon valamint e-mailek mellékleteként is igyekszik terjedni.

A Prolaco.BC féreg készítői elsősorban arra koncentráltak, hogy a szerzeményük minél több számítógépre legyen képes felkerülni.  Ennek érdekében három terjedési módszerrel is felvértezték: a féreg cserélhető meghajtókon, fájlcserélő hálózatokon valamint elektronikus leveleken keresztül is terjed. A fertőzött számítógépeken feltérképezi, hogy milyen fájlcserélő alkalmazások futnak, és ha talál ilyet, akkor annak megosztott könyvtárába bemásolja a saját, fertőzött állományait, amelyeket jól ismert szoftverek nevei alapján nevez el. Az elektronikus levelekben való terjedéséhez pedig különféle kiterjesztésű állományokból gyűjt össze e-mail címeket, amelyek mellékletében továbbítja a saját kódját.

Az Isidor Biztonsági Központ szerint a Prolaco.BC képes megkerülni a Windows beépített tűzfalát, és emellett letiltja a Windows Vista, illetve a Windows 7 UAC funkcióját. Vagyis a féreg igyekszik meggyengíteni a számítógép védelmét, hogy a tevékenysége során lehetőleg semmi ne akadályozza a kártékony műveletek végrehajtását. A Prolaco.BC egy Vundo nevű - 2008 óta ismert - trójait is letölt a PC-kre, majd feltelepíti a károkozót.

Amikor a Prolaco.BC féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományt:
%APPDATA%\SystemProc\lsass.exe

2. Bemásolja a saját fájljait az alábbi könyvtárakba:
C:\WINDOWS\system32\
C:\Program Files\Grokster\My Grokster\
C:\Program Files\ICQ\Shared Folder\
C:\Program Files\LimeWire\Shared\
C:\Program Files\Morpheus\My Shared Folder\
C:\Program Files\Tesla\Files\
C:\Program Files\WinMX\Shared\
C:\Program Files\eMule\Incoming\

A fájlok nevét jól ismert alkalmazások alapján generálja.

3. A regisztrációs adatbázishoz hozzáfűzi a következő értékeket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UACDisableNotify=01, 00, 00, 00
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\

system\EnableLUA=00, 00, 00, 00
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Adobe Reader Updater v06="C:\WINDOWS\system32\Adobefy.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters \FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\WINDOWS\system32\Adobefy.exe=

"C:\WINDOWS\system32\Adobefy.exe:*:Enabled:Explorer"

4. Az alábbi kiterjesztésű állományokból kigyűjti az e-mail címeket:
.txt
.htm
.doc
.xls
.lst
.nfo
.log
.xml

5. Az összegyűjtött e-mail címek alapján megpróbál elektronikus levelekben tovább terjedni.

Ha tetszett a cikk, oszd meg ismerőseiddel is a legnépszerűbb közösségi oldalakon (klikk a gombra):

A hír megjelenését a Biztonságportál támogatta.