A Rawspods.A féreg alapvetően két feladatra koncentrál. Egyrészt megkísérel egy hátsó kaput nyitni az általa megfertőzött számítógépen, amelyen keresztül különféle parancsokat fogad, illetve hajt végre. Másrészt pedig rendszerinformációkat gyűjt össze, amelyeket egy előre meghatározott távoli szerverre tölt fel.
Az Isidor Biztonsági Központ közleménye szerint a Rawspods.A cserélhető meghajtók, elsősorban pendrive-ok révén terjed. Ez a kártékony program is kihasználja a Windows Autorun funkciójában rejlő lehetőségeket, és az adattárolók csatlakoztatásakor igyekszik minél kevesebb felhasználói közreműködéssel betöltődni.
A Rawspods.A képes további ártalmas állományok számítógépekre való feljuttatására, így egyéb károkozók terjesztéséből is ki tudja venni a részét.
Amikor a Rawspods.A féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományt:
%ProgramFiles%/waragent/[féreg fájlneve].exe
2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/Windows Operating Dynamic Services="c:/program files/waragent/[a féreg fájlneve].exe" /autostart"
3. Létrehozza az alábbi fájlokat:
%programfiles%/waragent/settings/settings.lst
%programfiles%/waragent/settings/settings.lst-journal
4. Az elérhető, cserélhető meghajtókra felmásolja a saját állományait, és egy autorun.inf nevű fájlt, amivel biztosítja, hogy a meghajtók újbóli csatlakoztatásakor lehetőleg automatikusan be tudjon töltődni.
5. Csatlakozik egy előre meghatározott távoli szerverhez a 80-as TCP-porton keresztül.
6. Különböző rendszerinformációkat gyűjt össze.
7. Az összegyűjtött adatokat interneten keresztül kiszivárogtatja.
8. Távoli szerverekről különböző parancsokat fogad, amelyeket azonnal végre is hajt.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.