2010. szeptember 3., péntek

Pendrive-on lapul a Ruternam féreg

1
Kristóf Csaba
2008. augusztus 28., 08:25
Nyomtatás
A cserélhető meghajtókon keresztül terjedő Ruternam.CZ féreg kiszolgáltatottá teszi a fertőzött számítógépeket a támadásokkal szemben.

A  Ruternam.CZ féreg a saját fájljai létrehozása után módosítja a regisztrációs adatbázist. Ennek során olyan bejegyzéseket is kitöröl, amelyek a Windows indulásakor automatikusan betöltődő szoftvereket szabályozzák. Ezt követően változtatásokat eszközöl a Windows beépített tűzfalának beállításaiban annak érdekében, hogy az Interneten keresztül is szabadon végezhesse el a feladatát. Egy hátsó kaput nyit a számítógépeken, és várakozik a támadók parancsaira.

A  Ruternam.CZ féreg elsősorban cserélhető meghajtókon, főleg pendrive-okon keresztül igyekszik minél több számítógépre felkerülni. A kártékony program egy AUTORUN.EXE nevű állomány formájában terjed.

Amikor a Ruternam.CZ féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%Profile%\svchost.exe
%Profile%\Start Menu\Programs\Startup\userinit.exe
%System%\drivers\services.exe
%Profile%\explorer.dll
%Profile%\ms_tcp.dll
%System%\explorer.dll
%System%\ms_tcp.dll

2. A regisztrációs adatbázis alábbi két kulcsából minden értéket kitöröl:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

3. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\[system] = "%System%\drivers\services.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\winlogon = "%Profile%\svchost.exe"
HKLM\SYSTEM\CurrentControlSet\Services\Schedule\ImagePath = "%System%\drivers\services.exe"

4. Megpróbál cserélhető meghajtókon terjedni. Minden elérhető meghajtóra felmásol egy AUTORUN.EXE és egy AUTORUN.INF nevű fájlt.

5. A regisztrációs adatbázis módosításával megváltoztatja a Windows beépített tűzfalának beállításait:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\[féreg elérési útvonala] = "[féreg elérési útvonala]:*:Enabled:sys"

6. Különböző API-k módosítása révén bizalmas információkat gyűjt, majd továbbít előre meghatározott szerverek felé.

7. Nyit egy hátsó kaput az 5881-es porton keresztül, majd várakozik a támadók parancsaira.

8. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a fertőzött számítógépeken.

9. A Windows Temp könyvtárába létrehoz egy "STOP" nevű fájlt. Amennyiben ez már létezik, akkor a trójai leállítja saját magát.

Címkék:
Nyomtatás

1 hozzászólás

  1. lost írta:
    2008-08-28 22:43:56

    Melyik verzión terjed? xp vagy vista?

ESET Online Vírusirtó
Céginfó hírek (x)