Az
Ackantta.F féreg terjesztői úgy határoztak, hogy a Michael Jackson
halálával kapcsolatos, világméretű érdeklődést használják fel arra,
hogy a felhasználókat megtévesszék. A féreg ugyanis elsősorban olyan
elektronikus levelekben terjed, amelyek Michael Jacksonnal kapcsolatos
üzeneteket tartalmaznak, míg a mellékletükben egy zip kiterjesztésű
állományt hordoznak, ami természetesen a kártékony programhoz tartozó
fájlokat foglalja magában. Mindezek mellett a féreg cserélhető
meghajtókon, például pendrive-okon keresztül is terjed.
Az Isidor Biztonsági Központ jelentéséből kiderül, hogy az Ackantta.F rengeteg módosítást végez a
Windows regisztrációs adatbázisában, amelynek hatására többek között
megkerüli a Windows beépített tűzfalát, új szolgáltatásokat hoz létre,
megváltoztatja az Internet Explorer egyes beállításait, és gondoskodik
arról, hogy az operációs rendszer minden egyes újraindulásakor
automatikusan be tudjon töltődni.
Az Ackantta.F a regisztrációs
adtabázisból számos bejegyzést távolít el a tevékenysége során, ami a
fertőzött rendszerek stabilitására is káros hatással van.
Amikor az Ackantta.F féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományokat:
%System%\jushed.exe
%System%\java2.exe
%Windir%\jvm.exe
%System%\SKYNET[véletlenszerű karakterek].dll
%System%\SKYNET[véletlenszerű karakterek].dll
%System%\drivers\SKYNE[véletlenszerű karakterek].sys
%Windir%\java.ini
%System%\SKYNET[véletlenszerű karakterek].dat
%System%\SKYNETlog.dat
2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run \"Windows Audio Services" = "%Windir%\jvm.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"SunJava UpdateSched10" = "%System%\jushed.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Windows Audio Services" = "%Windir%\jvm.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active
Setup\Installed
Components\ {151B67MA-E28T-45KF-0O30-8801XS8WIF5J}\"StubPath" =
"\"%Windir%\jvm.exe\""
3. Hatástalanítja a Windows tűzfalát a következők szerint:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters \FirewallPolicy\StandardProfile\AuthorizedApplications\List\"%System%\jushed.exe"
= "%System%\jushed.exe:*:Enabled:Explorer"
4. Módosítja a regisztrációs adatbázisban az Internet Explorer egyes beállításait:
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\"ProxyEnable" = "0"
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet
Settings\Connections\"DefaultConnectionSettings" = "[...]"
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\"SavedLegacySettings" = "[...]"
5. A regisztrációs adatbázisban létrehozza a következő értékeket:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\"(Default)" = "[véletlenszerű karakterek]"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\"java6kernel" = "06"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\"sun6micro" = "30"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\"[véletlenszerű karakterek]" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SKYNET[véletlenszerű karakterek]\"group" = "file system"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SKYNET[véletlenszerű
karakterek]\"imagepath" = "%System%\drivers\SKYNETasnaosip.sys"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SKYNET[véletlenszerű karakterek]\"start" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SKYNET[véletlenszerű karakterek]\"type" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SKYNET[véletlenszerű karakterek]\main\"aid" = "10120"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SKYNET[véletlenszerű karakterek]\main\"sid" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SKYNET[véletlenszerű karakterek]\main\injector\"*" = "SKYNETwsp.dll"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SKYNET[véletlenszerű
karakterek]\modules\"SKYNET.dat" = "%System%\SKYNEThbqelxil.dat"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SKYNET[véletlenszerű
karakterek]\modules\"SKYNETcmd.dll" = "%System%\SKYNET[véletlenszerű
karakterek].dll"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SKYNET[véletlenszerű
karakterek]\modules\"SKYNETlog.dat" = "%System%\SKYNET[véletlenszerű
karakterek ].dat"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SKYNET[véletlenszerű
karakterek]\modules\"SKYNETrk.sys" =
"%System%\drivers\SKYNET[véletlenszerű karakterek].sys"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SKYNET[véletlenszerű
karakterek]\modules\"SKYNETwsp.dll" = "%System%\SKYNET[véletlenszerű
karakterek].dll"
6. Számos értéket módosít a regisztrációs adatbázis alábbi kulcsában:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates
7. A regisztrációs adatbázisból kitörli a következő értékeket:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ERSVC \"NextInstance" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ERSVC \0000\"Class" = "LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ERSVC \0000\"ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ERSVC \0000\"ConfigFlags" = "32"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ERSVC \0000\"DeviceDesc" = "Error Reporting Service"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ERSVC \0000\"Legacy" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ERSVC \0000\"Service" = "ERSvc"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WSCSVC \"NextInstance" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ WSCSVC\0000\"Class" = "LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ WSCSVC\0000\"ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ WSCSVC\0000\"ConfigFlags" = "32"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ WSCSVC\0000\"DeviceDesc" = "Security Center"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ WSCSVC\0000\"Legacy" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ WSCSVC\0000\"Service" = "wscsvc"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc\" DependOnService" = "RpcSs "
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc\" Description"
= "Allows error reporting for services and applictions running in
non-standard environments."
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc\" DisplayName" = "Error Reporting Service"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc\" ErrorControl" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc\" ImagePath" = "%SystemRoot%\System32\svchost.exe -k netsvcs"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc\" ObjectName" = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc\"Start" = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc\"Type" = "32"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc\ Parameters\"ServiceDll" = "%SystemRoot%\System32\ersvc.dll"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc\ Security\"Security" = "[BINARY DATA]"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\" DependOnService" = "RpcSs winmgmt "
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\" Description"
= "Monitors system security settings and configurations."
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\" DisplayName" = "Security Center"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\" ErrorControl" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\" ImagePath" = "%SystemRoot%\System32\svchost.exe -k netsvcs"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\"ObjectName" = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\"Start" = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\"Type" = "32"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\ Parameters\"ServiceDll" = "%SystemRoot%\system32\wscsvc.dll"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc \Security\"Security" = "[BINARY DATA]"
8. Csatlakozik egy előre meghatározott távoli szerverhez.
10. Különböző kiterjesztésű állományokból email címeket gyűjt össze.
11. Az összegyűjtött email címek felhasználásával leveleket kezd el küldözgetni.
A fertőzött emailek tárgya lehet:
Remembering Michael Jackson
A fertőzött levelek mellékletéhez tartozó fájl neve lehet:
Michael songs and pictures.zip
12. Minden cserélhető meghajtóra felmásolja a következő három állományt:
%DriveLetter%\RECYCLER\[SID]\Desktop.ini
%DriveLetter%\RECYCLER\[SID]\redmond.exe
%DriveLetter%\autorun.inf
13. Egy előre meghatározott távoli szerverről letölt egy kártékony fájlt.
