Az Agnido.A féreg rengeteg fájlt hoz létre a kiszemelt rendszereken, majd módosítja a regisztrációs adatbázist. Ezzel többek között eléri, hogy a működését ne akadályozza a Windows beépített tűzfala. A féreg az Indítópultban szereplő hivatkozások mindegyikét megváltoztatja (az azokhoz tartozó elérési útvonalat a saját állományára irányítja) annak érdekében, hogy a Windows minden egyes újraindulásakor automatikusan betöltődhessen.
Az Agnido.A megváltoztatja a böngészőkben megjelenő alapértelmezett weboldal címét is. Ezt azonban nem a webböngésző beállításainak módosításával teszi meg, hanem a parancsikonokban adja meg a letöltendő weblap címét. Így nemcsak az Internet Explorer, hanem a Firefox és az Opera felhasználóinak is bosszúságot tud okozni.
A féreg elsősorban elektronikus levekben terjed. Ehhez a Windows címjegyzékéből gyűjti össze a szükséges email címeket.
Amikor az Agnido.A féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%UserProfile%\Local Settings\Temp\ns[véletlenszerű karakterek].tmp\sendmail.dll
%UserProfile%\Local Settings\Temp\ns[véletlenszerű karakterek].tmp\ShellLink.dll
%UserProfile%\Local Settings\Temp\ns[véletlenszerű karakterek].tmp\System.dll
%SystemDrive%\Documents and Settings\All Users\Documents\Hummer.jpg
%SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\Administrative Tools\[eredeti fájlnév].exe
%SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\Startup\[ eredeti fájlnév].lnk
%SystemDrive%\WINDOWS\Resources\[ eredeti fájlnév].exe
%SystemDrive%\autorun.inf
%SystemDrive%\smss.exe
%SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\Internet Explorer.lnk
%SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\Mozilla Firefox\Mozilla Firefox.lnk
%SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\Opera\Opera.lnk
%SystemDrive%\Documents and Settings\All Users\Desktop\Internet Explorer.lnk
%SystemDrive%\Documents and Settings\All Users\Desktop\Mozilla Firefox.lnk
%SystemDrive%\Documents and Settings\All Users\Desktop\Opera.lnk
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Opera.lnk
2. Az alábbi könyvtárban megkeresi az összes .lnk kiterjesztésű állományt.
%SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\Startup
Ezeket a parancsikonokat (hivatkozásokat) átirányítja a %CommonProgramFiles%\[eredeti fájlnév].exe fájlra.
3. A regisztrációs adatbázisban létrehozza a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List\"139:TCP" = "139:TCP:*:Enabled:@xpsp2res.dll,-22004"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List\"445:TCP" = "445:TCP:*:Enabled:@xpsp2res.dll,-22005"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List\"137:UDP" = "137:UDP:*:Enabled:@xpsp2res.dll,-22001"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List\"138:UDP" = "138:UDP:*:Enabled:@xpsp2res.dll,-22002"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\"139:TCP" = "139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\"445:TCP" = "445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\"137:UDP" = "137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\"138:UDP" = "138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002"
4. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
kulcsához új értékeket ad hozzá.
5. Módosítja az Internet Explorer, a Firefox és az Opera böngészőkhöz tartozó parancsikonokat úgy, hogy azok egyben egy weboldalt is betöltsenek.
6. A Windows címjegyzékéből összegyűjti az email címeket, amelyekre leveleket küldözget. Ezek egy kártékony weboldalra mutató hivatkozást is tartalmaznak.
A fertőzött levelek tárgya lehet:
VOTE RAILA ODINGA FOR PRESIDENT 2007!
A fertőzött levelek üzenete:
VOTE RAILA ODINGA FOR PRESIDENT 2007. YOUR AGENT FOR CHANGE!...
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.