Engedelmesen szolgálja ki a terjesztőit a Cridex féreg

1
Kristóf Csaba
2012. január 26., 08:35
Nyomtatás
Miközben a Cridex féreg szorgosan végrehajtja a terjesztői parancsait, minden számára elérhető cserélhető adattárolót megfertőz.

A Cridex féregnek két fontos jellemzője van. Az egyik, hogy cserélhető meghajtókon terjed, így többek között pendrive-okra is felkerülhet. A kártékony program a Windows Autorun funkciójának kihasználásával arról is gondoskodik, hogy a lehetőségekhez mérten a lehető legkevesebb felhasználói közreműködéssel tudjon betöltődni a memóriába.

Az Isidor Biztonsági Központ jelentése szerint a Cridex másik tulajdonsága, hogy egy hátsó kaput nyit a fertőzött számítógépeken, amelyen keresztül megpróbálja kiszolgálni a terjesztői kéréseit. A féreg által létesített hátsó kapu többek között a következő műveletek elvégzésére ad módot:
- fájlok le- és feltöltése
- fájlok futtatása
- a hálózati adatforgalom folyamatos monitorozása.

Amikor a Cridex féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
%UserProfile%/Application Data/[véletlenszerű karakterek].exe
%UserProfile%/Application Data/[véletlenszerű karakterek]/[véletlenszerű karakterek].DAT.DAT
%UserProfile%/Application Data/[véletlenszerű karakterek]/[véletlenszerű karakterek].DAT
%Temp%/POS[véletlenszerű karakterek].BAT
%System%/drivers/[véletlenszerű karakterek].sys

2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run/"[véletlenszerű karakterek].exe" = "%UserProfile%/Application Data/[RANDOM CHARACTERS].exe"

3. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Explorer/Shell Folders/"AppData" = "%UserProfile%/Application Data"

4. A regisztrációs adatbázisban módosítja a következő értéket:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Internet Settings/"GlobalUserOffline" = "0"

5. Csatlakozik egy távoli szerverhez, és nyit egy hátsó kaput.

6. Minden cserélhető adattárolóra felmásolja az alábbi két állományt:
%meghajtó betűjele%/[véletlenszerű karakterek]/[véletlenszerű karakterek].exe
%meghajtó betűjele%/autorun.inf

 

Címkék:
Nyomtatás
Kapcsolódó hírek
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szerkesztőség és a szolgáltatás üzemeltetője semmilyen felelősséget nem vállal! A moderálási elvekbe ütköző hozzászólásokat szerkesztőségünk bármikor törölheti.

0 hozzászólás

Ehhez a cikkhez még nem érkezett hozzászólás.
ESET Online Vírusirtó
Céginfó hírek (x)