Föoldal

Partnereink:


Tűzfalakat hatástalanító féreg.

A cserélhető adattárolókon terjedő Vapka.A féreg elsősorban bizalmas adatok összegyűjtésével és kiszivárogtatásával okoz károkat.

A Vapka.A féreg a cserélhető adattárolókon két fájlt hoz létre, és arról is gondoskodik, hogy a meghajtók újbóli csatlakoztatásakor automatikusan elindulhasson. A féreg a Windows könyvtárába is bemásol néhány állományt, amelyek különböző kártékony tevékenységek végrehajtását szolgálják. Így például alkalmasak az Internet Explorerben megadott jelszavak összegyűjtésére, rendszerinformációk lekérdezésére, windowsos bejelentkezési adatok megszerzésére, valamint a billentyűleütések naplózására.

A Vapka.A további veszélye, hogy képes hatástalanítani a ZoneAlarm és az Agnitum Outpost Firewall tűzfalakat.

Amikor a Vapka.A féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%Windir%\Registration\R0000000000Hx.clb
%Windir%\wuaucl.exe
%Windir%\$NtUninstallKB893339$\systems.dat
%Windir%\$NtUninstallKB893339$\mashine.dat
%Windir%\$NtUninstallKB893339$\exported.pfx.

2. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = "%SYSTEM%\userinit.exe %Windir%\wuaucl.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Microsoft Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Microsoft Security\"DLLName" = "manager.dll"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Microsoft Security\"EntryPoint" = "Start"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Microsoft Security\"StackSize" = "0".

3. A regisztrációs adatbázisban módosítja az alábbi értéket:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\"AppInit_DLLs" = "mslogon.dll"

4. Létrehozza a következő fájlokat:
%Windir%\iexplore.exe
%Windir%\System32\mslogon.dll
%Windir%\diskguard.dll
%Windir%\find32.exe
%Windir%\mspwd.exe.
%Windir%\System32\manager.dll
%Windir%\System32\ckcn.exe.

5. Leállítja a ZoneAlarm és az Agnitum Outpost Firewall tűzfalakat (amennyiben azok futnak).

6. Minden cserélhető adattároló RECYCLER nevű könyvtárába bemásol egy kavpa.exe nevű fájlt.

7. A cserélhető adattároló gyökérkönyvtárába létrehoz egy autorun.inf nevű állományt.

8. Letörli a következő fájlokat:
%UserProfile%\Cookies\*.txt
*\wand.dat.



A hír megjelenését a BIZTONSÁG PORTÁL támogatta.

 

 
Kapcsolodó cikkek, tesztek:
Hírek
Biztonsági Hírek

RSS HIREK | Média ajánlat | Site térkép | Rólunk | Elérhetöség | Copyright | ©2006 Tesztpad.hu