Föoldal

Partnereink:


Word dokumentumokat fertőz a Dizan vírus

A Dizan.D nevű vírus a Word dokumentumok megfertőzésére specializálódott, és ezen
állományok révén próbál minél több számítógépre rákerülni.

A Dizan.D vírus amint rákerül egy számítógépre, akkor azonnal létrehoz számos új állományt,
amelyek segítségével képessé válik a károkozásra. A vírus az elindulása után minden újonnan létrehozott
Word dokumentumot megfertőz, és ezek fájlnevének felhasználásával .exe kiterjesztésű
fájlokat generál. A vírus ezt követően létrehoz egy windowsos szolgáltatást, amelynek révén
biztosítja, hogy a Windows minden egyes újraindításakor betöltődjön.

A Dizan.D számos új bejegyzést hoz létre a regisztrációs adatbázisban, illetve abban
meglévő értékeket módosít.

Amikor a Dizan.D vírus elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%UserProfile%\\Local Settings\\Temp\\Flu Burung.txt
C:\\Recycled\\CTFMON.EXE
C:\\Recycled\\desktop.ini
C:\\Recycled\\SMSS.EXE
C:\\recycled\\SPOOLSV.EXE
C:\\recycled\\SVCHOST.EXE
C:\\WINDOWS\\Fonts\\ Explorer.exe
C:\\WINDOWS\\Installer\\{90110409-6000-11D3-8CFE-0150048383C9}\\docicon.exe
C:\\WINDOWS\\system32\\mmc.exe

2. Bemásolja a saját állományait az összes írható meghajtóra az alábbiak szerint:
[meghajtó betűjele]\\recycled\\CTFMON.EXE
[meghajtó betűjele]\\recycled\\desktop.ini
[meghajtó betűjele]\\recycled\\SMSS.EXE
[meghajtó betűjele]\\recycled\\SPOOLSV.EXE
[meghajtó betűjele]\\recycled\\SVCHOST.EXE

3. Minden újonnan létrehozott Word állományt megfertőz.

4. Minden megfertőzött Word dokumentum fájlnevével és. exe kiterjesztéssel létrehoz
egy-egy állományt.

5. A regisztrációs adatbázisban létrehozza a következő bejegyzéseket:
HKEY_ALL_USERS\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\
"Shell" = "Explorer.exe "
C:\\recycled\\SVCHOST.exe""
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\
Winlogon\\"Shell" = "Explorer.exe"
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\
Winlogon\\"Shell" = "Explorer.exe "
C:\\WINDOWS\\Fonts\\ Explorer.exe""

6. Létrehoz egy "Smart Card Supervisor" nevű szolgáltatást.

7. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\mmc
HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\ENUM\\ROOT\\LEGACY_MMC

8. A regisztrációs adatbázisban módosítja az alábbi kulcsokat:
HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\Word.Document.8\\DefaultIcon\\"" = "
C:\\WINDOWS\\Installer\\{90110409-6000-11D3-8CFE-0150048383C9}\\wordicon.exe,1"
HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\Word.Document.8\\DefaultIcon\\"" = "
C:\\WINDOWS\\Installer\\{90110409-6000-11D3-8CFE-0150048383C9}\\docicon.exe"
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\
Explorer\\Advanced\\Folder\\
HideFileExt\\"UncheckedValue" = "0"
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\
Explorer\\Advanced\\Folder\\
HideFileExt\\"UncheckedValue" = "1"
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\
Explorer\\Advanced\\Folder\\
SuperHidden\\"UncheckedValue" = "1"
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\
Explorer\\Advanced\\Folder\\
SuperHidden\\"UncheckedValue" = "0".

 

A hír megjelenését a biztonságportál támogatta.

 

 
Kapcsolodó cikkek, tesztek:
Hírek

RSS HIREK | Média ajánlat | Site térkép | Rólunk | Elérhetöség | Copyright | ©2006 Tesztpad.hu