Az Otpoh féreg alapvetően kétféle terjedési módszert alkalmaz. Egyrészt MSN Messengeren keresztül küld üzeneteket a címlistában szereplő személyek számára. Ezekben az üzenetekben egy kártékony weboldalra mutató hivatkozást is elhelyez. Másrészt cserélhető meghajtókra, különösen pendrive-okra igyekszik felkerülni, és ezáltal további számítógépekre feljutni.
Az Isidor Biztonsági Központ jelentése szerint az Otpoh két feladatot lát el. Először egy IRC-n keresztül felépített hátsó kapun keresztül teljesíti a terjesztői parancsait. Ezt követően pedig rendszerinformációkat gyűjt össze, valamint egyes alkalmazások által elmentett felhasználóneveket és jelszavakat szivárogtat ki.
Amikor az Otpoh féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományt:
%Temp%/[véletlenszerű karakterek].exe
2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run/"Windows" = "%Temp%/[véletlenszerű karakterek].exe"
3. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzést:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Active Setup/Installed Components/{254F4E25-A65F-2764-0003-070806050704}
4. Csatlakozik egy IRC-szerverhez, és nyit egy hátsó kaput.
5. Összegyűjti az alábbi információkat:
- számítógép neve
- az aktuálisan bejelentkezett felhasználó neve
- operációs rendszer verziója
- a féreg jelenlegi variánsa
- telepített víruskereső szoftver neve.
6. Összegyűjti a következő alkalmazások által tárolt felhasználóneveket és jelszavakat:
Mozilla Firefox
MSN Messenger
FileZilla
7. Megpróbál MSN Messenger segítségével tovább terjedni.
8. Megpróbál cserélhető meghajtókra felkerülni.
9. Interneten keresztül frissíti a saját állományait, és további ártalmas állományokat tölt le.
1 hozzászólás
Ez durva!!!!!!!!