Ackantta.B

Az Ackantta.B féreg a fertőzött rendszereken Java fájloknak próbálja álcázni magát, és néhány bejegyzést hoz létre a regisztrációs adatbázisban. A kártékony program ezt követően email címeket kezd el keresni különféle állományokban. A megszerzett címekre leveleket küldözget. Ezek megtévesztő üzenetet tartalmaznak, elektronikus képeslapoknak néznek ki, míg a mellékletükben zip kiterjesztésű állományok találhatók.

A féreg cserélhető meghajtókon keresztül is igyekszik terjedni, és arról is gondoskodik, hogy az adattárolók csatlakoztatásakor automatikusan el tudjon indulni. Az Ackantta.B a fájlcserélő szoftverek megosztott könyvtáraiba is bemásolja magát olyan fájlnevekkel, amelyeket jól ismert alkalmazások nevéből generál.

Az Ackantta.B képes egyes biztonsági szoftverek leállítására.

Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
%System%\javame1.1.exe
%System%\javale.exe

2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"SunJava Updater v7" = "%System%\javale.exe"

3. Módosítja a regisztrációs adatbázis következő bejegyzéseit:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\ StandardProfile\AuthorizedApplications\List\%System%\"javale.exe" = "%System%\javale.exe:*:Enabled:Explorer"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\"javastation1.1" = "02"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\"ultrasparc1.1" = "25"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download\"CheckExeSignatures" = "0x1"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download\"RunInvalidSignatures" = "no"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations\"LowRiskFileTypes" = ".zip;.rar;.cab;.txt;.exe;.reg;.msi;.htm;.html;.bat;.cmd;.pif;.scr;.mov;.mp3;.wav"

4. Csatlakozik egy távoli szerverhez.

5. Különböző kiterjesztésű állományokból email címeket gyűjt össze, majd azokra leveleket küldözget.

A kártékony levelek tárgya lehet:
Job offer from Coca Cola!
Thank you for your application
You have got a new E-Card from your friend!
You have received A Hallmark E-Card!

A fertőzött levelek mellékletéhez tartozó állomány neve lehet:
copy of your CV.zip
e-card.zip
job-application-form.zip
postcard.zip

6. A cserélhető meghajtókon létrehozza a következő állományokat:
RECYCLER\S-1-6-21-2434476521-1645641927-702000330-1542\redmond.exe
RECYCLER\S-1-6-21-2434476521-1645641927-702000330-1542\Desktop.ini
autorun.inf

7. Létrehozza a következő fájlokat:
C:\program files\icq\shared\folder\[...].exe
C:\program files\grokster\my grokster\[...].exe
C:\program files\emule\incoming\[...].exe
C:\program files\morpheus\my shared folder\[...].exe
C:\program files\limwire\shared\[...].exe
C:\program files\tesla\files\[...].exe
C:\program files\winmx\shared\[...].exe
C:\Downloads\[...].exe

A fájlok nevét jól ismert alkalmazások nevének felhasználásával állítja össze.

8. A leállít egyes biztonsági szoftvereket.