Lati vírus

 E-mail
IWIWSatartlapGoogle bookmarkTwitterLinkter.huFacebookBlogter.hu
Vírus Hírek

Hálózati mappákban pusztít a Lati vírus

A Lati vírus az általa megfertőzött számítógépekhez csatlakoztatott hálózati meghajtókon komoly károkat képes okozni.

A Lati vírus elsősorban BAT és VBS kiterjesztésű állományok révén kerülhet rá a számítógépekre. A vírus először feltérképezi a PC-khez csatlakoztatott hálózati meghajtókat, amelyekre felmásolja a saját állományait, és arról is gondoskodik, hogy a megosztások megnyitásakor ezek automatikusan elinduljanak.

 

Az Isidor Biztonsági Központ szerint a Lati legkockázatosabb jellemzője, hogy bizonyos feltételek teljesülése esetén a hálózati megosztásokról letörli a dokumentumokat, az Excel fájlokat és egyes kép- valamint multimédiás állományokat. Majd csatlakozik egy FTP-szerverhez, amelyről további fájlokat tölt le, és parancsokat futtat le. Ezek eredményét feltölti egy távoli kiszolgálóra, és ezzel elsősorban hálózati információkat szivárogtat ki a terjesztői számára.

Amikor a Lati vírus elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat az elérhető hálózati meghajtókon:
%meghajtó betűjele%/ati2.bat
%meghajtó betűjele%/ati2.vbs
%meghajtó betűjele%/autorun.inf

2. A csatlakoztatott hálózati meghajtókon található összes .bat kiterjesztésű állományt megfertőzi.

3. Létrehozza a következő fájlokat:
%Windir%/reg2.txt
%Windir%/diz.txt
%Windir%/nfo.txt
%Windir%/reg.txt
%Windir%/ati2.bat
%Windir%/ati2.vbs
%Windir%/autorun.inf

4. Amennyiben a rendszerdátumból és rendszeridőből képzett stringben szerepel a "13 30" kifejezés, akkor letörli az alábbi kiterjesztésekkel rendelkező fájlokat a hálózati meghajtókról:
.mp3
.avi
.jpg
.jpeg
.vob
.doc
.xls

5. Letörli a %Windir%/info könyvtárat és a %Windir%/yes állományt, amennyiben azok léteznek.

6. A regisztrációs adatbázisban módosítja az alábbi bejegyzést:
HKEY_CURRENT_USER/Software/Microsoft/Windows/Currentversion/Explorer/Advanced/"ShowSuperHidden" = "0"

7. Egy előre meghatározott FTP-szerverről letölt két fájlt (ras.exe, pro.exe), és lefuttatja a következő parancsokat:
tasklist
ipconfig /all
netstat -r
netstat -a
tracert ya.ru
nslookup /

8. A fenti parancsok eredményét elmenti, és feltölti egy FTP-kiszolgálóra.

 

A hír megjelenését a Biztonságportál támogatta.

< Előző   Következő >