tesztpad - Interneten keresztül vezérelt féreg

Partnereink:

Interneten keresztül vezérelt féreg

A hír megjelenését a biztonságportál támogatta.
A Blastclan.B féreg leggyakrabban hálózati megosztásokon keresztül próbál terjedni, és egy internetes vezérlõfájl révén különbözõ mûveleteket hajt végre a kiszemelt számítógépeken. A Blastclan.B féreg néhány fájl létrehozása, és a regisztrációs adatbázis módosítása után az Internetrõl letölt egy konfigurációs fájlt, amely tulajdonképpen utasításokat tartalmaz a kártevõ számára. Ezek alapján hajtja végre a különbözõ kártékony mûveleteit. A féreg minden hálózaton megosztott mappába igyekszik belekerülni, és arról is gondoskodik, hogy a meghajtók újbóli csatlakoztatásakor automatikusan betöltõdhessen. A Blastclan.B elérhetetlenné teszi a Windows Feladatkezelõjét, és a regisztrációs adatbázis szerkesztõjét is. Amikor a Blastclan.B féreg elindul, akkor az alábbi mûveleteket hajtja végre: 1. Létrehozza a következõ fájlokat: %System%\\autorun.ini %System%\\blastclnnn.exe %System%\\scvhosts.exe %Windir%\\Tasks\\At1.job %Windir%\\hinhem.scr %Windir%\\scvhosts.exe 2. A regisztrációs adatbázisban létrehozza a következõ bejegyzést: HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\"Yahoo Messengger" = "43 00 3A 00 5C 00 57 00 49 00 4E 00 44 00 4F 00 57 00 53 00 5C 00 73 00 79 00 73 00 74 00 65 00 6D 00 33 00 32 00 5C 00 73 00 63 00 76 00 68 00 6F 00 73 00 74 00 73 00 2E 00 65 00 78 00 65 00 00 00 00" 3. A regisztrációs adatbázisban módosítja az alábbi bejegyzést: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\"Shell" = "45 00 78 00 70 00 6C 00 6F 00 72 00 65 00 72 00 2E 00 65 00 78 00 65 00 20 00 73 00 63 00 76 00 68 00 6F 00 73 00 74 00 73 00 2E 00 65 00 78 00 65 00 00 00 00" 4. A regisztrációs adatbázisban létrehozza a következõ kulcsokat: HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\ "GlobalUserOffline" = "0" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\ "NofolderOptions" = "1" 5. A regisztrációs adatbázisban módosítja az alábbi bejegyzéseket: HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\" DisableTaskMgr" = "1" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\" DisableRegistryTools" = "1" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\Schedule\\"NextAtJobId" = "2" 6. Interneten keresztül letölt egy konfigurációs állományt, amely alapján különbözõ mûveleteket hajt végre. 7. Minden hálózati meghajtóra bemásol egy "new folder.exe" és egy "autorun.inf" nevû fájlt.

Kapcsolodó cikkek, tesztek: Hírek

| Média ajánlat | Site térkép | Rólunk | Elérhetöség | Copyright | ©2006 Tesztpad.hu