PDF ikonnal ruházza fel a saját fájljait a Visal féreg

1
Kristóf Csaba
2010. augusztus 27., 09:07
Nyomtatás
A Visal.A féreg legtöbbször kéretlen elektronikus levelek révén terjed, és rendszerfájlok törlésével okozhat komoly problémákat.

A Visal.A féreg készítői Visual Basic segítségével hozták létre a kártékony programjukat. A céljuk elsősorban az volt, hogy a kártevőt minél több számítógépre jutassák fel. Ennek érdekében alapvetően kétféle módszerrel ruházták fel a férget: a számítógépes károkozó kéretlen elektronikus levelek révén kerülhet rá a rendszerekre, de épp olyan gyorsan képes cserélhető meghajtókon és hálózati megosztásokon keresztül is terjedni.

Az Isidor Biztonsági Központ közleményéből kiderül, hogy a Visal.A a C-H betűjellel rendelkező meghajtók gyökérkönyvtárába másolja be a saját állományait, és igyekszik kihasználni a Windows Autorun funkcióját, amelynek segítségével minimális felhasználói beavatkozással is képes elindulni.

A Visal.A a saját fájljaihoz a PDF-állományoknál megszokott ikont rendeli hozzá, és ezzel próbálja megtéveszteni a felhasználókat.

Amikor a Visal.A féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
C:\N95_Image13022010.scr
C:\open.exe
C:\autorun.inf
%windir%\svchost.exe
%windir%\autorun.inf
%windir%\autorun2.inf

2.  A regisztrációs adatbázis alábbi kulcsához új bejegyzéseket ad hozzá:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options registry\

Az alkalmazott új érték: Debugger="%windir%\svchost.exe"

3. A C-H betűjelű meghajtókra felmásolja a saját állományait. Ezáltal konfigurációtól függően cserélhető és hálózati meghajtókon keresztül is tud terjedni. Az adattárolók gyökérkönyvtárába az alábbi fájlokat hozza létre:
N73.Image12.03.2009.JPG.scr
autorun.inf

4. A N73.Image12.03.2009.JPG.scr állományt bemásolja a megosztott könyvtárakba.

5. Elektronikus levelekben próbál további számítógépeket megfertőzni.

A kártékony levelek üzenete a következő lehet:
"Hello:
This is The Document I told you about,you can find it Here.<link to worm copy>
Please check it and reply as soon as possible.
Cheers,
Payload"

6. A Windows System könyvtárából kitörli a legtöbb, .exe kiterjesztésű állományt.

7. A regisztrációs adatbázisban módosítja az alábbi értékeket:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA="0x00000000"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop="0x00000000"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableVirtualization="0x00000000"

8. Előre meghatározott távoli szerverekről kártékony fájlokat tölt le.

Címkék:
Nyomtatás
Kapcsolódó hírek
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szerkesztőség és a szolgáltatás üzemeltetője semmilyen felelősséget nem vállal! A moderálási elvekbe ütköző hozzászólásokat szerkesztőségünk bármikor törölheti.

0 hozzászólás

Ehhez a cikkhez még nem érkezett hozzászólás.
ESET Online Vírusirtó
Céginfó hírek (x)

Kiadó
Partnereink
IDG Worldwide

© 1999-2012 IDG Hungary Médiaszolgáltató Kft. Minden jog fenntartva.