Aboc

Az Aboc féreg számos módosítást hajt végre a fertőzött számítógépeken, amelyeket nem sokkal később vírusokkal és trójai programokkal halmoz el.
 

Az Aboc féreg elsődleges feladata, hogy különböző kártékony programokat jutasson fel az általa megfertőzött számítógépekre. Az ártalmas kódokat előre meghatározott távoli szerverekről tölti le, ezért a Windows beépített tűzfalát is igyekszik hatástalanítani. Ezt követően az általa beszerzett számítógépes kártevőket feltelepíti, illetve azokkal különböző folyamatokat fertőz meg.

Az Aboc a regisztrációs adatbázisban jó néhány módosítást is végrehajt, amelyek révén letiltja a proxy-k használatát, valamint manipulálja a Windows Intéző egyes beállításait. Ezzel elsősorban azt próbálja elérni, hogy a saját állományait a felhasználók ne ismerhessék fel azelőtt, hogy a tevékenységét végrehajtotta volna.



Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
%SystemDrive%/Documents and Settings/All Users/Start Menu/Programs/Startup/SYSTEMIL2.EXE
%Windir%/SYSTEMIL.EXE
%SystemDrive%/SYSTEMIL.EXE

2. A regisztrációs adatbázishoz hozzáfűzi az alábbi értékeket:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run/"SystemIL" = "%Windir%/SYSTEMIL.EXE"
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/"SystemIL" = "%Windir%/SYSTEMIL.EXE"

3. A regisztrációs adatbázishoz hozzáadja a következő bejegyzést:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/SharedAccess/
Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications/
List/"%System%/winlogon.exe" = "%System%/winlogon.exe:*:enabled:@shell32.dll,-1"

4. Módosítja a regisztrációs adatbázis következő értékeit:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/system/"DisableRegistryTools" = "1"
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/system/"DisableTaskMgr" = "1"
HKEY_USERS/.DEFAULT/Software/Microsoft/Windows/CurrentVersion/Internet Settings/"ProxyEnable" = "0"

Ezzel letiltja a proxy használatot az Internet Explorerben.

5. A regisztrációs adatbázisban manipulálja az alábbi bejegyzést:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/"HideFileExt" = "1"

6. Módosítja a Windows Intéző beállításait:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/
Explorer/Advanced/"Start_ShowControlPanel" = "0"
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/
Policies/Explorer/"NoFolderOptions" = "1"
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/
Explorer/Advanced/"FolderContentsInfoTip" = "0"
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/
Explorer/Advanced/"PersistBrowsers" = "1"
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/
Explorer/Advanced/"ShowInfoTip" = "0"
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/
Explorer/Advanced/Folder/FolderSizeTip/"CheckedValue" = "0"
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/
Explorer/Advanced/Folder/FolderSizeTip/"DefaultValue" = "0"

7. Csatlakozik előre meghatározott távoli szerverekhez.

8. További kártékony programokat tölt le, amelyek között a Pandex trójai is megtalálható lehet.

9. A Virut.CF vírussal megfertőzi az alábbi állományokat:
logonui.exe
wuaucldt.exe

10. Felmásolja a következő fájlok valamelyikét az éppen elérhető cserélhető meghajtókra:
%SystemDrive%/Pictures.exe
%SystemDrive%/Documents.exe
%SystemDrive%/Photos.exe
%SystemDrive%/Games.exe