A Rispif.A féreg rengeteg módosítást hajt végre a számítógépeken, ezért az eltávolítása is meglehetősen komplikált lehet. A féreg egyik ismertető jele, hogy a rendszerdátumot 2004-re állítja át. Ezt követően egy rootkit komponenst telepít, amelynek révén megpróbálja elrejteni saját magát és az általa okozott módosításokat.
A Rispif.A a regisztrációs adatbázisban sok változatást eszközöl. A kártékony program igyekszik megkerülni a biztonsági szoftverek által nyújtott védelmet, illetve leállítani a biztonsági alkalmazásokat. Ezt követően Interneten keresztül töltöget le további fájlokat.
A Rispif.A féreg elsősorban cserélhető adattárolókon keresztül terjed. Ezekre másolja fel a saját állományait, és gondoskodik arról, hogy a meghajtók újbóli csatlakoztatásakor ezek az állományok automatikusan betöltődhessenek.
Amikor a Rispif.A féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
C:\lo.tmp
%SYSTEM%\wuauclt.exe
%SYSTEM%\dllcache\wuauclt.exe
%SYSTEM%\wsotdet.dll
%SYSTEM%\wssndet.dll
2. Cserélhető meghajtókon keresztül próbál terjedni. Az adattárolókra az alábbi állományokat másolja fel:
C:\AUTORUN.INF
C:\RIS.PIF
C:\RVS.PIF
3. A regisztrációs adatbázisban létrehozza a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run\"explorer" = "%System%\wuauclt.exe"
4. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a fertőzött rendszereken.
5. A rendszerdátumot visszaállítja 2004-re.
6. Felülírja a következő fájlt:
%System%\drivers\beep.sys
7. Egy rootkit komponenst telepít, és hatástalanítja a biztonsági szoftvereket.
8. Módosítja a következő fájlokhoz való hozzáférési jogosultságokat:
c:\windows\system32\packet.dll
c:\windows\system32\pthreadVNC.dll
c:\windows\system32\drivers\npf.sys
c:\windows\system32\drivers\npptools.dll
c:\windows\system32\drivers\acpidisk.sys
c:\windows\system32\drivers\wanpacket
9. A regisztrációs adatbázisban módosítja a következő kulcsban szereplő bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
10. Leállítja a biztonsági szoftverekhez tartozó folyamatokat.
11, A regisztrációs adatbázisban módosítja a következő bejegyzést:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\"SHOWALL" = "2"
12. A regisztrációs adatbázisból kitörli az alábbi kulcsokat:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
13. Amennyiben a felhasználó csökkentett módban indítja újra a számítógépét, akkor a Windows kékhalállal összeomlik.
14. Elrejti az Internet Explorer ablakát, majd kártékony fájlokat tölt le, amelyeket az alábbiak szerint ment el:
C:\Documents and Settings\All Users\1.pif
C:\Documents and Settings\All Users\2.pif
C:\Documents and Settings\All Users\3.pif
C:\Documents and Settings\All Users\4.pif
C:\Documents and Settings\All Users\5.pif
C:\Documents and Settings\All Users\6.pif
C:\Documents and Settings\All Users\7.pif
C:\Documents and Settings\All Users\8.pif
C:\Documents and Settings\All Users\9.pif
C:\Documents and Settings\All Users\10.pif
C:\Documents and Settings\All Users\ms.pif.
3 hozzászólás
Ez mind szép és jó... Ellenszer? A cíkk címe utal az eltávolításra, hogy az nehéz... De semmi tanácsot nem ad. A rendszerleíró adatbázist hámozzam át? Na ne...
Használj Linux-ot. http://phoenix_art.extra.hu/?q=node/6
beep.sys törlése,kihúzni a számítógépet 5sec-en belül a konnnektorból,nekem bejött. A beep.sys végleg eltűnik!