Word dokumentumnak álcázza magát a Racos féreg

A Racos.A féreg elsősorban cserélhető meghajtókon terjed. Ezekre egy Word dokumentumnak látszó, ugyanakkor futtatható fájlt másol fel, amely mellett egy olyan állományt is elhelyez, aminek révén minimális felhasználói beavatkozás mellett képes betöltődni. Vagyis kihasználja a Windows Autorun funkcióját.

Az Isidor Biztonsági Központ szerint a Racos.A folyamatosan monitorozza a billentyűleütéseket, majd az összegyűjtött adatokat rendszeresen feltölti egy előre meghatározott távoli szerverre. Eközben pedig manipulálja az operációs rendszer fájlmegjelenítési beállításait, valamint a regisztrációs adatbázis módosításával gondoskodik arról, hogy a Windows minden egyes betöltődésekor el tudjon indulni.

Amikor a Racos.A féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományt:
%Windows%/%Font%/smss.exe

2. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a fertőzött rendszeren.

3. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/smss="smss.exe"

4. A számítógéphez csatlakoztatott cserélhető meghajtókra felmásol egy "~$doc.exe" nevű fájlt.

5. A cserélhető meghajtók gyökérkönyvtárába létrehoz egy Autorun.inf nevű állományt.

6. A regisztrációs adatbázisban módosítja a következő értéket:
HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/ShowSuperHidden="0"

7. A fertőzött számítógépekről fájlokat tölt fel egy előre meghatározott távoli szerverre.

8. Folyamatosan monitorozza a billentyűleütéseket.

9. Az összegyűjtött bizalmas adatokat kiszivárogtatja a terjesztői számára.

A hír megjelenését a Biztonságportál támogatta.