Föoldal

Partnereink:


Cserélhető adattárolókról támad a Xirtam.A féreg

A Xirtam.A féreg elsősorban elektronikus levelek mellékleteként terjed, de képes hálózati meghajtókon, illetve cserélhető adattárolókon keresztül is fertőzni.

A Xirtam.A rengeteg fájlt hoz létre a fertőzött számítógépeken, és igyekszik olyan meghajtókra felkerülni, amelyek mögött cserélhető adattároló van. Ezekre egy autorun.inf fájlt is felmásol, amely biztosítja a féreg automatikus elindulását.

A Xirtam.A .htm kiterjesztésű fájlokból gyűjti össze a terjedéséhez szükséges email címeket, majd azokra továbbküldi saját magát. Ezt követően feltérképezi a hálózati meghajtókat.

Amikor a Xirtam.A féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%UserProfile%\\Local Settings\\Temp\\Reply.exe
%UserProfile%\\Local Settings\\Temp\\spoolsv.tme
%UserProfile%\\Local Settings\\Temp\\taskmgr.txt
%UserProfile%\\spoolsv.exe
%Windir%\\Matrix.scr
A:\\Recycled.exe
E:\\Recycled.exe
E:\\Secret\\Nice Sex.exe
E:\\Autorun.inf
F:\\Recycled.exe
F:\\Fuck\\Nice Sex.exe
F:\\Autorun.inf
G:\\Recycled.exe
G:\\911 Death\\911.exe
G:\\Autorun.inf
H:\\Recycled.exe
H:\\VDO\\Nice Sex.exe
H:\\Autorun.inf
I:\\Recycled.exe
I:\\Data Fair\\Nice Sex.exe
I:\\Autorun.inf
J:\\Recycled.exe
J:\\Nice Sex.exe
J:\\Autorun.inf

2. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\exefile
kulcsához hozzáadja a
"NeverShowExt" = "" értéket.

3. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run
kulcsához hozzáadja a
"Task" = "%UserProfile%\\spoolsv.exe" értéket.

4. A regisztrációs adatbázis
HKEY_CURRENT_USER\\Control Panel\\Desktop
kulcsához hozzáadja a
"SCRNSAVE.EXE" = "C:\\WINDOWS\\Matrix.scr" értéket.

5. A regisztrációs adatbázis
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run
kulcsához hozzáadja a
"Task" = "%UserProfile%\\spoolsv.exe" értéket.

6. Módosítja a regisztrációs adatbázis
HKEY_CURRENT_USER\\Control Panel\\Desktop
kulcsában szereplő
"ScreenSaveActive" = "1" értéket.

7. A cserélhető adattárolókon létrehoz, vagy módosít egy autorun.inf fájlt, amelynek révén az adattároló behelyezésekor automatikusan elindul.

8. .htm kiterjesztésű állományokból összegyűjti az email címeket.

9. Az összegyűjtött email címekre továbbküldi saját magát:

A fertőzött levelek tárgya:
Reply DataFolder

A fertőzött levelek mellékletéhez tartozó fájl neve:
Reply.exe

10. A hálózati meghajtók listáját eltárolja az alábbi állományba:
%UserProfile%\\Local Settings\\Temp\\taskmgr.txt.

A hír megjelenését a biztonságportál támogatta.

 

 
Kapcsolodó cikkek, tesztek:
Hírek

RSS HIREK | Média ajánlat | Site térkép | Rólunk | Elérhetöség | Copyright | ©2006 Tesztpad.hu