Háttérképet csereberél a Versie féreg
nyit a fertġzött számítógépeken. A Versie.A féreg minden írható meghajtó gyökér könyvtárába bemásolja a saját fájljait, majd gondoskodik arról, hogy a cserélhetġ meghajtók újbóli csatlakoztatásakor automatikusan elindulhasson. A féreg számos helyen módosítja a regisztrációs adatbázist. Ezzel többek között megváltoztatja az Internet Explorer kezdġoldalát, valamint új háttérképet helyez el a Windows Asztalán. A Versie.A legfġbb veszélye, hogy számos rendszerinformációt szolgáltat ki a fertġzött rendszerekrġl, és egy hátsó kaput nyit azokon. Ennek révén a támadók az alábbi mûveleteket végezhetik el az érintett PC-ken. - billentyûleütések naplózása - fájlok letöltése és futtatása - a számítógép leállítása Amikor a Versie.A féreg elindul, akkor az alábbi mûveleteket hajtja végre: 1. Létrehozza a következġ fájlokat: %ProgramFiles%\\Common Files\\Microsoft Shared\\MSInfo\\_[ véletlenszerûen generált név].exe %System%\\[ véletlenszerûen generált név].exe 2. Minden írható meghajtó gyökér könyvtárába bemásolja az alábbi két állományt: [véletlenszerûen generált név].exe Autorun.inf 3. Létrehozza a következġ fájlokat: %ProgramFiles%\\Common Files\\Microsoft Shared\\MSInfo\\Paramstr.txt %System%\\RelDelBat.Bat 4. Létrehoz egy "LocalSystem" nevû windowsos szolgáltatást. 5. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzést: HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Windows [véletlenszerûen generált név] [véletlenszerûen generált név] 6. Módosítja a regisztrációs adatbázis következġ bejegyzéseit: HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\ Explorer\\"NoDriveTypeAutoRun" = "0" HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Internet Explorer\\Control Panel\\"Homepage" = "1" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Main\\Start Page HKEY_CURRENT_USER\\Control Panel\\Desktop\\"TileWallpaper" = "0" HKEY_CURRENT_USER\\Control Panel\\Desktop\\"Wallpaper" = "[a féreg által letöltött képfájl neve]" HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\"fDenyTSConections" = "0" 7. Megpróbálja megfertġzni az iexplore.exe és az svchost.exe nevû folyamatokat. 8. Amennyiben a rendszer tartalmaz egy %System%\\drivers\\klick.sys nevû állományt, akkor a rendszerdátumot 1981-re állítja át, és elkezdi pingetni a 127.0.0.1-es IP címet 9. Nyit egy hátsó kaput az 1986-os TCP porton keresztül, és várakozik a támadók parancsaira. 10. Letölt egy fájlt az Internetrġl, majd elmenti azt a következġk szerint: %ProgramFiles%\\Common Files\\Microsoft Shared\\MSInfo\\Beizhu.txt 12. Az Internet Explorer Kedvencek menüjét kiegészíti egy új hivatkozással. 13. Az alábbi rendszerinformációkat elküldi a támadók számra: - processzor sebessége - memóriakapacitás - operációs rendszer verziója - telepített hibajavító csomagok verziója.
|
Kapcsolodó cikkek, tesztek: Hírek |
|---|
