tesztpad - Rahiwi: a bosszantó féreg

Partnereink:

Rahiwi: a bosszantó féreg

A hír megjelenését a biztonságportál támogatta.
A Rahiwi nevű féreg rengeteg módosítást hajt végre a fertőzött számítógépeken, és több műveletet is elvégez a felhasználók bosszantása érdekében. A Rahiwi féreg a saját fájljait az összes elérhető és írható meghajtóra felmásolja. Így többek között a cserélhető adattárolókra és a hálózati meghajtókra is, amelyek révén megpróbál minél több számítógépre eljutni. A féreg rengeteg módosítást végez a regisztrációs adatbázisban, így az általa végzett károkozás nehezen helyreállítható. A Rahiwi gondoskodik arról, hogy a Windows minden újraindulásakor betöltődjön. Módosítja az Internet Explorer kezdőoldalát, valamint a böngésző ablakának címsorát. Ezt követően felcseréli az egér jobb, illetve bal gombjához tartozó funkciókat, és lecseréli a képernyővédőt. A féreg olyan módosításokat is végez, amelyek révén minden .bat, .com, .exe, .inf, .lnk, és .pif állomány megnyitásakor betöltődnek a kártékony programhoz tartozó fájlok. Amikor a Rahiwi.A féreg elindul, akkor az alábbi műveleteket hajtja végre: 1. Létrehozza a következő fájlokat: [meghajtó betűjele]:\\Data_Rahasia Administrator.exe [meghajtó betűjele]:\\Tiwi_Cute.exe [meghajtó betűjele]:\\autorun.inf [meghajtó betűjele]:\\present.txt 2. Létrehozza az alábbi könyvtárat, amennyiben az még nem létezik: C:\\Documents and Settings\\Administrator\\Local Settings\\Application Data\\WINDOWS 3. Létrehozza a következő fájlokat: C:\\Documents and Settings\\Administrator\\Local Settings\\Application Data\\WINDOWS\\cute.exe C:\\Documents and Settings\\Administrator\\Local Settings\\Application Data\\WINDOWS\\imoet.exe C:\\Documents and Settings\\Administrator\\Local Settings\\Application Data\\WINDOWS\\smss.exe C:\\Documents and Settings\\Administrator\\Local Settings\\Application Data\\WINDOWS\\winlogon.exe C:\\Documents and Settings\\Administrator\\Local Settings\\Application Data\\smss.exe C:\\Documents and Settings\\Administrator\\Local Settings\\Application Data\\winlogon.exe C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\Empty.pif C:\\WINDOWS\\system32\\IExplorer.exe C:\\WINDOWS\\system32\\rpcss.dll C:\\WINDOWS\\system32\\shell.exe C:\\WINDOWS\\system32\\tiwi.scr C:\\WINDOWS\\tiwi.exe C:\\tiwi.exe 4. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket: HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\"MSMSGS” = “C:\\Documents and Settings\\Administrator\\Local Settings\\Application Data\\WINDOWS\\ winlogon.exe” HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\"tiwi” = “C:\\WINDOWS \\tiwi” HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\"LegalNoticeCaption” = “Cemlekum” HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\”Shell” = “Explorer.exe "C:\\WINDOWS\\system32\\IExplorer.exe” HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\”Userinit” = “C:\\WINDOWS\\system32\\userinit.exe,C:\\WINDOWS\\system32\\IExplorer.exe” HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ Run\\”LogonAdministrator” = “C:\\Documents and Settings\\Administrator\\Local Settings\\Application Data\\WINDOWS\\imoet.exe” HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\ ”System Monitoring” = “C:\\Documents and Settings\\Administrator\\Local Settings\\Application Data\\WINDOWS\\cute.exe” 5. Módosítja a regisztrációs adatbázis következő bejegyzéseit: HKEY_CLASSES_ROOT\\batfile\\shell\\open\\command\\"(Default Value)” = "C:\\WINDOWS\\ system32\\shell.exe" "%1" %” HKEY_CLASSES_ROOT\\comfile\\shell\\open\\command\\"(Default Value)” = "C:\\WINDOWS\\ system32\\shell.exe" "%1" %” HKEY_CLASSES_ROOT\\exefile\\”(Default Value)” = "C:\\WINDOWS\\system32\\shell.exe" = "%1" %* HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command\\"(Default Value)” = "C:\\WINDOWS\\ system32\\shell.exe" "%1" %” HKEY_CLASSES_ROOT\\inffile\\shell\\Install\\command\\Default = "C:\\WINDOWS\\ system32\\shell.exe" "%1" %” HKEY_CLASSES_ROOT\\lnkfile\\shell\\open\\command\\"(Default Value)” = "C:\\WINDOWS\\ system32\\shell.exe" "%1" %” HKEY_CLASSES_ROOT\\piffile\\shell\\open\\command\\"(Default Value)” = "C:\\WINDOWS\\ system32\\shell.exe" "%1" %” HKEY_CURRENT_USER\\Control Panel\\Mouse\\"SwapMouseButtons” = “01 00 00 00” HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main\\”Search Page” = “http://google.com” HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main\\”Start Page” = “http://google.com” HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main\\”Windows Title” = “Princess Tiwi is here” HKEY_CURRENT_USER\\Control Panel\\Desktop\\”SCRNSAVE.EXE” = “c:\\windows\\system32tiwi.scr” HKEY_CURRENT_USER\\Control Panel\\Desktop\\”ScreenSaveTimeOut” = “600” HKEY_CURRENT_USER\\Control Panel\\Desktop\\”ScreenSaverIsSecure” = “0” HKEY_CLASSES_ROOT\\CLSID\\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\\ ”LocalizedString” = “Tiwi_Cute” HKEY_CLASSES_ROOT\\CLSID\\{645FF040-5081-101B-9F08-00AA002F954E}\\ "LocalizedString” = “Tiwi Suka Bersih2” HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\ System\\"DisableRegistryTools” = “1” HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\ System\\"DisableTaskMgr” = “1” HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\ System\\"NoDispSettingsPage” = “1” HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\ System\\"DisableCMD” = “1” HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ AeDebug\\"Debugger” = “C:\\WINDOWS\\system32\\Shell.exe” HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ Advanced\\"Hidden” = “0” HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ Advanced\\"HideFileExt” = “1” HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ Advanced\\"ShowSuperHidden” = “0” HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ "ProductID” = “U must be use ilegal os, sowhat?” HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ "ProductName” = “Princess Tiwi” HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ "RegisteredOrganization” = “Tiwi_Imoet” HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ "RegisteredOwner” = “Tiwi_Cute” HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ Winlogon\\”LegalNoticeText” = "Ketika sang Putri tertidur, kunyalakan lampion tuk menghangatkan sang putri, dan ku tunggu sang putri terbangun. Entah sampai kapan dia bisa melihat ketulusan hatiku....(kaya di fs nya siafa yach??) :P " HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\ SafeBoot\\"AlternateShell” = “C:\\WINDOWS\\tiwi.exe” HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\ Explorer\\Advanced\\"Start_ShowControlPanel” = “0”.

Kapcsolodó cikkek, tesztek: Hírek

| Média ajánlat | Site térkép | Rólunk | Elérhetöség | Copyright | ©2006 Tesztpad.hu