Csökkentett módban is aktív az Otorun féreg

Az Otorun.ASH féreg egy véletlenszerű névvel ellátott szolgáltatás formájában fut a fertőzött számítógépeken. A kártékony program a regisztrációs adatbázis módosításával arról is gondoskodik, hogy ez a szolgáltatás a Windows csökkentett módban történő elindításakor is betöltődjön.

Az Isidor Biztonsági Központ szerint az Otorun.ASH féreg elsősorban cserélhető meghajtókon és hálózati megosztásokon keresztül terjed. A kártékony program interneten keresztül további ártalmas fájlokat tölt le, ezáltal egyéb rosszindulatú alkalmazások terjedéséhez is hozzájárul.

Amikor az Otorun.ASH féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományt:
%User Temp%/srv{véletlenszerű karakterek}.tmp

2. Megfertőzi az spoolsv.exe folyamatot.

3. A regisztrációs adatbázishoz hozzáfűzi a következő értékeket:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/srv{véletlenszerű karakterek}/Type = "20"
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/srv{véletlenszerű karakterek}/Start= "2"
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/srv{véletlenszerű karakterek}/ErrorControl = "1"
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/srv{véletlenszerű karakterek}/ImagePath="%System Root%/system32/svchost.exe -k netsvcs"
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/srv{véletlenszerű karakterek}/DisplayName="srv{random characters}"
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/srv{véletlenszerű karakterek}/ObjectName="LocalSystem"
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/srv{véletlenszerű karakterek}/parameters/servicedll = "/?/globalroot/Device/HarddiskVolume1/%User Temp%/srv{véletlenszerű karakterek}.tmp"
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/srv{véletlenszerű karakterek}/Security/Security="{...}"

4. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzést:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SafeBoot/Minimal/srv{véletlenszerű karakterek}

Ezzel biztosítja, hogy csökkentett módban is betöltődjön.

5. A regisztrációs adatbázisban módosítja a következő értékeket:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/SvcHost/netsvcs = "{...} srv{véletlenszerű karakterek}"
HKEY_USERS/.DEFAULT/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/3/CurrentLevel = "0"
HKEY_USERS/.DEFAULT/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/3/1601 = "0"

6. Minden cserélhető és hálózati meghajtóra felmásolja a saját állományát és egy autorun.inf fájlt.

7. Előre meghatározott távoli szerverekről további ártalmas fájlokat tölt le. Ezeket a következők szerint menti le:
%User Temp%/srv{véletlenszerű karakterek}.ini
%User Temp%/srv[véletlenszerű karakterek}.tmp

8. Lefuttatja a fenti fájlokat.

9. A megosztott könyvtárakba bemásolja az alábbi állományokat:
autorun.inf
myporno.avi.lnk
pornmovs.lnk
setup{véletlenszerű karakterek}.lnk
setup{véletlenszerű karakterek}.fon

10. Manipulálja a DHCP és DNS beállításokat.

A hír megjelenését a Biztonságportál támogatta.