A Darkmegi féreg legfontosabb jellemzője, hogy akkor képes megfertőzni egy számítógépet, ha az nem tartalmazza a Microsoft legutóbbi biztonsági hibajavításait. A trójai ugyanis a Windows Mediai Player januárban napvilágra került hibáját használja ki. E sebezhetőség megszüntetéséhez a Microsoft a januári hibajavító keddjén már kiadott egy frissítést, amelynek telepítésével megelőzhetők a károk. A sebezhetőség a Windows XP/Vista valamint a Windows Server 2003/2008 operációs rendszereket érinti.
Az Isidor Biztonsági Központ jelentése kitér arra, hogy a Darkmegi elsősorban speciálisan szerkesztett HTML-fájlok révén terjedhet, amelyek egy kártékony MIDI-állományra mutató hivatkozást is tartalmaznak. Amennyiben erre a felhasználó rákattint, akkor a trójai azonnal betöltődik a memóriába. Ezt követően új fájlokat hoz létre, rendszerállományokat ír felül, valamint manipulálja a regisztrációs adatbázist. Végül pedig interneten keresztül további kártékony programokat juttat fel a számítógépekre.
Amikor a Darkmegi trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományokat:
%UserProfile%/a.exe
%UserProfile%/Local Settings/Temporary Internet Files/tdc.exe
%System%/com32.dll
%System%/drivers/com32.sys
%System%/VersionKey.ini
2. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson az fertőzött rendszeren.
3. A regisztrációs adatbázishoz hozzáadja az alábbi kulcsot:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Com32
4. Betölti a memóriába a %System%/com32.dll állományt.
5. Leellenőrzi, hogy léteznek-e az alábbi folyamatokat:
IRPro.exe
Remon.exe
SpStart.exe
6. Amennyiben igen, akkor létrehozza a következő fájlt:
%System%/FileDisk.sys
7. A fenti állománnyal felülírja %System%/userinit.exe nevű rendszerfájlt.
8. Interneten keresztül csatlakozik előre meghatározott távoli szerverekhez, amelyekről különféle állományokat tölt le.
9. A letöltött fájlokat a következők szerint menti le:
%CurrentFolder%/[aktuális rendszerdátum].exe
10. Folyamatosan figyelemmel kíséri az alábbi folyamatokat:
ALYac.aye
AYRTSrv.aye
AYServiceNT.aye
Nsavsvc.npc
nsvmon.npc
NVCAgent.npc
v3light.exe
v3lsvc.exe
v3ltray.exe
3 hozzászólás
Nem értem az egészet.
Nekem éppen most történt valami a windows média playerrel, olyan mintha le lenne fagyva. Nem működik, de törölni sem lehet és emmiatt az új telepítés sem lehetséges. Csak az érdekes at, hogy nekem Windows 7 op.rendszerem van és ezt a cikk szerint nem érinti a probléma.
Akkor nálad nem ez a vírus lesz az oka a dolgoknak. Ez akkor lehetne, ha fertőzött MIDI-fájlt nyittál volna meg, és valóban a Win 7 nem érintett.