Ackantta.F
Szerző: ISBK | Utolsó módosítás: 2009.07.01. | Veszélyesség: 
Az Ackantta.F féreg terjesztői úgy határoztak, hogy a Michael Jackson halálával kapcsolatos, világméretű érdeklődést használják fel arra, hogy a felhasználókat megtévesszék. A féreg ugyanis elsősorban olyan elektronikus levelekben terjed, amelyek Michael Jacksonnal kapcsolatos üzeneteket tartalmaznak, míg a mellékletükben egy zip kiterjesztésű állományt hordoznak, ami természetesen a kártékony programhoz tartozó fájlokat foglalja magában. Mindezek mellett a féreg cserélhető meghajtókon, például pendrive-okon keresztül is terjed.
Az Ackantta.F rengeteg módosítást végez a Windows regisztrációs adatbázisában, amelynek hatására többek között megkerüli a Windows beépített tűzfalát, új szolgáltatásokat hoz létre, megváltoztatja az Internet Explorer egyes beállításait, és gondoskodik arról, hogy az operációs rendszer minden egyes újraindulásakor automatikusan be tudjon töltődni.
Az Ackantta.F a regisztrációs adtabázisból számos bejegyzést távolít el a tevékenysége során, ami a fertőzött rendszerek stabilitására is káros hatással van.
Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományokat:
%System%\jushed.exe
%System%\java2.exe
%Windir%\jvm.exe
%System%\SKYNET[véletlenszerű karakterek].dll
%System%\SKYNET[véletlenszerű karakterek].dll
%System%\drivers\SKYNE[véletlenszerű karakterek].sys
%Windir%\java.ini
%System%\SKYNET[véletlenszerű karakterek].dat
%System%\SKYNETlog.dat
2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\"Windows Audio Services" = "%Windir%\jvm.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
"SunJavaUpdateSched10" = "%System%\jushed.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
"Windows Audio Services" = "%Windir%\jvm.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{151B67MA-E28T-45KF-0O30-8801XS8WIF5J}\
"StubPath" = "\"%Windir%\jvm.exe\""
3. Hatástalanítja a Windows tűzfalát a következők szerint:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\
List\"%System%\jushed.exe" = "%System%\jushed.exe:*:Enabled:Explorer"
4. Módosítja a regisztrációs adatbázisban az Internet Explorer egyes beállításait:
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\"ProxyEnable" = "0"
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\"DefaultConnectionSettings" = "[...]"
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\"SavedLegacySettings" = "[...]"
5. A regisztrációs adatbázisban létrehozza a következő értékeket:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\"(Default)" = "[véletlenszerű karakterek]"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\"java6kernel" = "06"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\"sun6micro" = "30"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\"[véletlenszerű karakterek]" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SKYNET[véletlenszerű karakterek]\"group" = "file system"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SKYNET[véletlenszerű karakterek]\"imagepath" = "%System%\drivers\SKYNETasnaosip.sys"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SKYNET[véletlenszerű karakterek]\"start" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SKYNET[véletlenszerű karakterek]\"type" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SKYNET[véletlenszerű karakterek]\main\"aid" = "10120"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SKYNET[véletlenszerű karakterek]\main\"sid" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SKYNET[véletlenszerű karakterek]\main\injector\"*" = "SKYNETwsp.dll"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SKYNET[véletlenszerű karakterek]\modules\"SKYNET.dat" = "%System%\SKYNEThbqelxil.dat"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SKYNET[véletlenszerű karakterek]\modules\"SKYNETcmd.dll" = "%System%\SKYNET[véletlenszerű karakterek].dll"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SKYNET[véletlenszerű karakterek]\modules\"SKYNETlog.dat" = "%System%\SKYNET[véletlenszerű karakterek ].dat"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SKYNET[véletlenszerű karakterek]\modules\"SKYNETrk.sys" = "%System%\drivers\SKYNET[véletlenszerű karakterek].sys"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SKYNET[véletlenszerű karakterek]\modules\"SKYNETwsp.dll" = "%System%\SKYNET[véletlenszerű karakterek].dll"
6. Számos értéket módosít a regisztrációs adatbázis alábbi kulcsában:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates
7. A regisztrációs adatbázisból kitörli a következő értékeket:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ERSVC\"NextInstance" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ERSVC\0000\"Class" = "LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ERSVC\0000\"ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ERSVC\0000\"ConfigFlags" = "32"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ERSVC\0000\"DeviceDesc" = "Error Reporting Service"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ERSVC\0000\"Legacy" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ERSVC\0000\"Service" = "ERSvc"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WSCSVC\"NextInstance" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WSCSVC\0000\"Class" = "LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WSCSVC\0000\"ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WSCSVC\0000\"ConfigFlags" = "32"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WSCSVC\0000\"DeviceDesc" = "Security Center"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WSCSVC\0000\"Legacy" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WSCSVC\0000\"Service" = "wscsvc"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc\"DependOnService" = "RpcSs "
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc\"Description" = "Allows error reporting for services and applictions running in non-standard environments."
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc\"DisplayName" = "Error Reporting Service"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc\"ErrorControl" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc\"ImagePath" = "%SystemRoot%\System32\svchost.exe -k netsvcs"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc\"ObjectName" = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc\"Start" = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc\"Type" = "32"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc\Parameters\"ServiceDll" = "%SystemRoot%\System32\ersvc.dll"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc\Security\"Security" = "[BINARY DATA]"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\"DependOnService" = "RpcSs winmgmt "
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\"Description" = "Monitors system security settings and configurations."
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\"DisplayName" = "Security Center"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\"ErrorControl" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\"ImagePath" = "%SystemRoot%\System32\svchost.exe -k netsvcs"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\"ObjectName" = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\"Start" = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\"Type" = "32"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters\"ServiceDll" = "%SystemRoot%\system32\wscsvc.dll"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security\"Security" = "[BINARY DATA]"
8. Csatlakozik egy előre meghatározott távoli szerverhez.
10. Különböző kiterjesztésű állományokból email címeket gyűjt össze.
11. Az összegyűjtött email címek felhasználásával leveleket kezd el küldözgetni.
A fertőzött emailek tárgya lehet:
Remembering Michael Jackson
A fertőzött levelek mellékletéhez tartozó fájl neve lehet:
Michael songs and pictures.zip
12. Minden cserélhető meghajtóra felmásolja a következő három állományt:
%DriveLetter%\RECYCLER\[SID]\Desktop.ini
%DriveLetter%\RECYCLER\[SID]\redmond.exe
%DriveLetter%\autorun.inf
13. Egy előre meghatározott távoli szerverről letölt egy kártékony fájlt.
-
A GIMP egy jogosulatlan kódfuttatásra módot adó hibát tartalmaz.
-
A Zyxel egyes AP-k esetében egy biztonsági rést foltozott be.
-
A Google Chrome kritikus biztonsági frissítést kapott.
-
Az ImageMagick négy sebezhetőség miatt kapott frissítést.
-
A Git fontos biztonsági hibajavításokat kapott.
-
Az Apache HTTP Server jelentős biztonsági frissítést kapott.
-
A Lenovo Vantage három biztonsági javítással bővült.
-
A Splunk Enterprise-hoz biztonsági frissítések érkeztek.
-
Az Adobe kritikus veszélyességű hibákat is javított a ColdFusion esetében.
-
Az Adobe kiadta az Illsutrator legújabb verzióit, amelyek révén 10 biztonsági hibát szüntetett meg.
Partnerhírek
Hogyan védhetjük meg a gyerekeket a kibertérben?
A nyári szünet idején a gyerekek több időt töltenek otthon, sokszor felügyelet nélkül – ez pedig nemcsak a fizikai, hanem az online biztonság szempontjából is kihívásokat jelent.
A csaló telefonhívásokon és a nem létező gázszámlákon túl
Az ESET kiberbiztonsági szakértői most összefoglalják, milyen más módszerekkel lophatják el a személyes adatainkat – és mit tehetünk azért, hogy ez ne történhessen meg.
hirdetés
Kiemelt hírek
Közösség
OLDALUNK
RSSImpresszum
Hirdetési információk
Adatvédelem
Felhasználási feltételek
Hozzászólási szabályzat
Copyright by Isidor - Minden jog fenntartva!