Ackantta.G

Az Ackantta.G féreg elsősorban elektronikus levelek útján igyekszik minél több számítógépre felkerülni. A kártékony program e variánsa olyan emailekben terjed, amelyek egy "attachment.htm.exe" nevű állományt tartalmaznak a mellékletükben. Amennyiben a felhasználó ezt megnyitja, akkor a rendszere azonnal megfertőződik. Ha ez bekövetkezik, akkor a féreg feltérképezi, hogy az adott számítógépen fut-e valamilyen fájlcserélő alkalmazás. Ha talál ilyet, akkor annak megosztott könyvtárába bemásolja a saját fájlját különböző megtévesztő neveken. Elsősorban jól ismert alkalmazásoknak tünteti fel magát.

A Windows beépített tűzfala nem képes megakadályozni az Ackantta.G tevékenykedését, ugyanis a féreg képes megkerülni, illetve hatástalanítani az operációs rendszer e funkcióját.

Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
%System%\jvshed.exe
%System%\drivers\[véletlenszerű karakterek].sys
%System%\javaload.exe
%System%\javavm.exe
%TEMP%\[véletlenszerű karakterek].tmp

2. A regisztrációs adatbázishoz hozzáfűzi az alábbi értékeket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"SunJavaUpdateSched16" = "%System%\jvshed.exe"

3. A regisztrációs adatbázisban létrehozza a következő értékeket:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\"%System%\drivers\[RANDOM CHARACTERS]" = "%System%\drivers\[RANDOM CHARACTERS].sys"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\"die6java" = "10"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\"die6sun" = "5"

4. Létrehozza az alábbi kulcsot a regisztrációs adatbázisban:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Explorer\JQS16

5. A regisztrációs adatbázisban módosítja a következő értéket:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\
List\"%System%\jvshed.exe" = "%System%\jvshed.exe:*:Enabled:Explorer"

6. Fájlokat másol be a rendszermeghajtó különböző könyvtáraiba:
%ProgramFiles%\ICQ\Shared Folder
%ProgramFiles%\Grokster\My Grokster
%ProgramFiles%\EMule\Incoming
%ProgramFiles%\Morpheus\My Shared Folder
%ProgramFiles%\LimeWire\Shared
%ProgramFiles%\Tesla\Files
%ProgramFiles%\WinMX\Shared
%SystemDrive%\Downloads

7. Csatlakozik egy előre meghatározott távoli szerverhez, azért hogy megszerezze a fertőzött számítógéphez tartozó (külső) IP-címet.