A Windows Media Player hibájára utazik a Darkmegi trójai

A Darkmegi trójai a Windows Media Player egyik sérülékenységét igyekszik a saját céljaira fordítani, és további kártékony programokat terjeszteni.

A Darkmegi féreg legfontosabb jellemzője, hogy akkor képes megfertőzni egy számítógépet, ha az nem tartalmazza a Microsoft legutóbbi biztonsági hibajavításait. A trójai ugyanis a Windows Mediai Player januárban napvilágra került hibáját használja ki. E sebezhetőség megszüntetéséhez a Microsoft a januári hibajavító keddjén már kiadott egy frissítést ( http://technet.microsoft.com/hu-hu/security/bulletin/ms12-004 ), amelynek telepítésével megelőzhetők a károk. A sebezhetőség a Windows XP/Vista valamint a Windows Server 2003/2008 operációs rendszereket érinti.

Az Isidor Biztonsági Központ jelentése kitér arra, hogy a Darkmegi elsősorban speciálisan szerkesztett HTML-fájlok révén terjedhet, amelyek egy kártékony MIDI-állományra mutató hivatkozást is tartalmaznak. Amennyiben erre a felhasználó rákattint, akkor a trójai azonnal betöltődik a memóriába. Ezt követően új fájlokat hoz létre, rendszerállományokat ír felül, valamint manipulálja a regisztrációs adatbázist. Végül pedig interneten keresztül további kártékony programokat juttat fel a számítógépekre.

Amikor a Darkmegi trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
%UserProfile%/a.exe
%UserProfile%/Local Settings/Temporary Internet Files/tdc.exe
%System%/com32.dll
%System%/drivers/com32.sys
%System%/VersionKey.ini

2. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson az fertőzött rendszeren.

3. A regisztrációs adatbázishoz hozzáadja az alábbi kulcsot:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Com32

4. Betölti a memóriába a %System%/com32.dll állományt.

5. Leellenőrzi, hogy léteznek-e az alábbi folyamatokat:
IRPro.exe
Remon.exe
SpStart.exe

6. Amennyiben igen, akkor létrehozza a következő fájlt:
%System%/FileDisk.sys

7. A fenti állománnyal felülírja %System%/userinit.exe nevű rendszerfájlt.

8. Interneten keresztül csatlakozik előre meghatározott távoli szerverekhez, amelyekről különféle állományokat tölt le.

9. A letöltött fájlokat a következők szerint menti le:
%CurrentFolder%/[aktuális rendszerdátum].exe

10. Folyamatosan figyelemmel kíséri az alábbi folyamatokat:
ALYac.aye
AYRTSrv.aye
AYServiceNT.aye
Nsavsvc.npc
nsvmon.npc
NVCAgent.npc
v3light.exe
v3lsvc.exe
v3ltray.exe

A hír megjelenését a Biztonságportál támogatta.