A Spybot.AKB féreg elsősorban elektronikus levelekben terjed, méghozzá meglehetősen megtévesztő módon. Leggyakrabban olyan e-mailek mellékletében tűnik fel, amelyek látszólag a Twitter üzemeltetőitől vagy felhasználóitól érkeznek. Amennyiben a felhasználó megnyitja a csatolt, általában INVITATION CARD.ZIP néven megjelenő állományt, akkor a számítógépe könnyedén megfertőződhet. A féreg mindemellett fájlcserélő hálózatokon is felbukkant már, amelyeken jól ismert alkalmazásoknak álcázza magát.
A Panda Security és az Isidor Biztonsági Központ jelentése rávilágít arra, hogy a Spybot.AKB ezúttal a Firefox valamint a Google Chrome webböngészőket futtató felhasználókat szemelte ki magának. A kártékony program ugyanis e két böngészőhöz telepít fel egy-egy kiegészítőt, amelynek révén egyes webes keresések alkalmával átirányításokat végezhet ártalmas weboldalakra.
A Spybot.AKB további veszélye, hogy hatástalanítja a Windows beépített tűzfalát, majd kikapcsol néhány védelmi szolgáltatást, amivel további kockázatnak teszi ki a fertőzött rendszereket.
Amikor a Spybot.AKB féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományokat:
GOOGLEUPDATES.EXE
GNOTE.EXE.
2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Google Update3 = %sysdir%\GoogleUpdates.exe
HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ SharedAccess\ Parameters\ FirewallPolicy\ StandardProfile\AuthorizedApplications\ List%sysdir%\GoogleUpdates.exe = %sysdir%\GoogleUpdates.exe:*:Enabled:Explorer
3. A regisztrációs adatbázis alábbiak szerinti módosításával megkerüli a Windows beépített tűzfalát:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\EnableLUA = 00, 00, 00, 00
4. Kikapcsolja a Windows UAC (User Access Control) szolgáltatását:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc\DeleteFlag = 01, 00, 00, 00
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc\FailureActions = 0A, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00, 01, 00, 00, 00, 54, 00, 41, 00, 00, 00, 00, 00, B8, 0B, 00, 00
5. Módosítja a Windows eseménykezelését az alábbiak szerint:
HKEY_CURRENT_USER\Software\Microsoft\Google3
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Google3
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\google5 = 02
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\google6 = 10
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc\Start = 02, 00, 00, 00
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc\Start = 04, 00, 00, 00
6. Megpróbál fájlcserélő hálózatokon keresztül tovább terjedni. Ennek érdekében bemásolja magát a fájlcserélő alkalmazások megosztott könyvtáraiba, és a saját fájlját jól ismert szoftverek nevével illeti.
7. Megpróbál elektronikus levelek útján tovább terjedni. Ehhez hamis, Twitter leveleket generál, és a mellékletbe helyezi el a saját állományát INVITATION CARD.ZIP néven.
8. A Firefox-hoz és a Chrome böngészőkhöz kiegészítőket telepít, és egyes webes keresések alkalmával átirányításokat végez különböző kártékony weboldalakra.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.