Az Ackantta.B féreg a fertőzött rendszereken Java fájloknak próbálja álcázni magát, és néhány bejegyzést hoz létre a regisztrációs adatbázisban. A kártékony program ezt követően email címeket kezd el keresni különféle állományokban. A megszerzett címekre leveleket küldözget. Ezek megtévesztő üzenetet tartalmaznak, elektronikus képeslapoknak néznek ki, míg a mellékletükben zip kiterjesztésű állományok találhatók.
A féreg cserélhető meghajtókon keresztül is igyekszik terjedni, és arról is gondoskodik, hogy az adattárolók csatlakoztatásakor automatikusan el tudjon indulni. Az Ackantta.B a fájlcserélő szoftverek megosztott könyvtáraiba is bemásolja magát olyan fájlnevekkel, amelyeket jól ismert alkalmazások nevéből generál.
Az Ackantta.B képes egyes biztonsági szoftverek leállítására.
Amikor az Ackantta.B féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományokat:
%System%\javame1.1.exe
%System%\javale.exe
2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"SunJava Updater v7" = "%System%\javale.exe"
3. Módosítja a regisztrációs adatbázis következő bejegyzéseit:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\ StandardProfile\AuthorizedApplications\List\%System%\"javale.exe" = "%System%\javale.exe:*:Enabled:Explorer"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\"javastation1.1" = "02"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\"ultrasparc1.1" = "25"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download\"CheckExeSignatures" = "0x1"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download\"RunInvalidSignatures" = "no"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations\"LowRiskFileTypes" = ".zip;.rar;.cab;.txt;.exe;.reg;.msi;.htm;.html;.bat;.cmd;.pif;.scr;.mov;.mp3;.wav"
4. Csatlakozik egy távoli szerverhez.
5. Különböző kiterjesztésű állományokból email címeket gyűjt össze, majd azokra leveleket küldözget.
A kártékony levelek tárgya lehet:
Job offer from Coca Cola!
Thank you for your application
You have got a new E-Card from your friend!
You have received A Hallmark E-Card!
A fertőzött levelek mellékletéhez tartozó állomány neve lehet:
copy of your CV.zip
e-card.zip
job-application-form.zip
postcard.zip
6. A cserélhető meghajtókon létrehozza a következő állományokat:
RECYCLER\S-1-6-21-2434476521-1645641927-702000330-1542\redmond.exe
RECYCLER\S-1-6-21-2434476521-1645641927-702000330-1542\Desktop.ini
autorun.inf
7. Létrehozza a következő fájlokat:
C:\program files\icq\shared\folder\[...].exe
C:\program files\grokster\my grokster\[...].exe
C:\program files\emule\incoming\[...].exe
C:\program files\morpheus\my shared folder\[...].exe
C:\program files\limwire\shared\[...].exe
C:\program files\tesla\files\[...].exe
C:\program files\winmx\shared\[...].exe
C:\Downloads\[...].exe
A fájlok nevét jól ismert alkalmazások nevének felhasználásával állítja össze.
8. A leállít egyes biztonsági szoftvereket.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.