tesztpad - Rendszerfunkciókat tesz elérhetetlenné a Kabab féreg

Partnereink:

Rendszerfunkciókat tesz elérhetetlenné a Kabab féreg

A hír megjelenését a biztonságportál támogatta.
A Kabab.A féreg elsõsorban hálózati megosztásokon keresztül terjed, és rengeteg módosítást hajt végre a Windowsban, melyek révén számos rendszerfunkciót tesz elérhetetlenné. A Kabab.A féreg amint rákerül egy számítógépre, azonnal megpróbál tovább terjedni. Ehhez különbözõ hálózati megosztásokat keres, amelyekre igyekszik felmásolni a fájljait. A féreg ezt követõen rengeteg módosítást végez a fertõzött PC-ken. Ezek révén elérhetetlenné teszi a Windows Feladatkezelõjét, a regisztrációs adatbázis szerkesztõjét, megváltoztatja az Internet Explorer címsorát, valamint kikapcsolja a Windows rendszerhelyreállító funkcióját. Amikor a Kabab.A féreg elindul, akkor az alábbi mûveleteket hajtja végre: 1. Létrehozza a következõ fájlokat: %System%\\~~~CoUnTeRPaIn~~~.exe %System%\\~~~MeMoRiEs_In_KaBa~~~.exe %System%\\~~~OuUuW_YeAh~~~.exe %System%\\~~~XPDC_KaBa_LoVe~~~.exe 2. Megpróbálja másolgatni a saját fájljait a hálózati megosztásokon keresztül. 3. A regisztrációs adatbázisban létrehozza a következõ bejegyzéseket: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ Run\\"System handler" = "%System%\\~~~OuUuW_YeAh~~~.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ Run\\"StartLoad_[számítógép neve]" = "%System%\\~~~OuUuW_YeAh~~~.exe" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\ "Loading_[számítógép neve]" = "%System%\\~~~OuUuW_YeAh~~~.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\"LegalNoticeCaption" = "XPDC OuUuW YeAh KABA-LOVE 17/03/2007 -> 22/03/2007" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Winlogon\\ "LegalNoticeCaption" = "XPDC OuUuW YeAh KABA-LOVE 17/03/2007 -> 22/03/2007" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\ Winlogon\\"LegalNoticeText" = "Welcome To [felhasználó neve] Computer ---> ;-)" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\"LegalNoticeText" = "Welcome To [felhasználó neve] Computer ---> ;-)" 4. A regisztrációs adatbázisban módosítja az alábbi bejegyzéseket: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\"Shell" = "explorer.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\"System" = "%System%\\~~~OuUuW_YeAh~~~.exe" 5. Az alábbiak szerint módosítja a regisztrációs adatbázist: HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows NT\\SystemRestore\\"DisableConfig" = "1" HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows NT\\SystemRestore\\"DisableSR" = "1" HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\ Installer\\"LimitSystemRestoreCheckpointing" = "1" Ezzel kikapcsolja a Windows rendszerhelyreállító funkcióját. 6. A regisztrációs adatbázis módosításával megváltoztatja az Internet Explorer címsorát: HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main\\ "Window Title" = "XPDC OuUuW_YeAh KABA-LOVE With COUNTERPAIN ;-)" 7. A regisztrációs adatbázis módosításával elérhetetlenné teszi a Feladatkezelõt, valamint a regisztrációs adatbázis szerkesztõjét: HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\ System\\"DisableRegistryTools" = "1" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\ System\\"DisableTaskMgr" = "1" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\ system\\"DisableRegistryTools" = "1" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\ system\\"DisableTaskMgr" = "1" 8. A regisztrációs adatbázisban módosítja a következõ bejegyzéseket: HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\Installer\\"DisableMSI" = "1" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\ Policies\\System\\"DisableCMD" = "1" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\ Policies\\Explorer\\"NoFolderOptions" = "1" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ policies\\Explorer\\"NoFolderOptions" = "1" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ Explorer\\Advanced\\"ShowSuperHidden" = "0" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ Advanced\\"Hidden" = "2" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ Advanced\\"HideFileExt" = "1" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ CabinetState\\"FullPath" = "1" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ CabinetState\\"FullPathAddress" = "1" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ SystemFileProtection\\"ShowPopups" = "0" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\"SFCDisable" = "0xFFFFFF9D" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\"SFCScan" = "0" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\"ReportBootOk" = "0" HKEY_CURRENT_USER\\Software\\Microsoft\\Command Processor\\"EnableExtensions" = "0" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ Advanced\\"Hidden" = "2" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ Advanced\\"HideFileExt" = "1" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ Advanced\\"ShowSuperHidden" = "0" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows\\"load" = "%System%\\~~~OuUuW_YeAh~~~.exe"

Kapcsolodó cikkek, tesztek: Hírek

| Média ajánlat | Site térkép | Rólunk | Elérhetöség | Copyright | ©2006 Tesztpad.hu