Ackantta.H

Az Ackantta.H vírus amellett, hogy meglehetősen gyorsan kezdett terjedni elektronikus levelekben és egyes fájlcserélőkön, rendkívüli módon fel tudja bolygatni a fertőzött rendszereket.
 

Az Ackantta.H az összetett kártékony programok közé sorolható. A számítógépes kártevő ugyanis rengeteg műveletet hajt végre a számítógépeken, ezért a vírus manuális eltávolítása nem egyszerű feladat. Az Ackantta.H készítői ráadásul arról is gondoskodtak, hogy a szerzeményük különböző módokon tudjon terjedni. Emiatt a vírus elektronikus levelekben, egyes fájlcserélő hálózatokon, weboldalakon valamint cserélhető és hálózati meghajtókon is képes a terjedésre. Az e-mail küldéshez a címeket a fertőzött rendszeren található, különböző kiterjesztésű állományokból gyűjti össze. A fájlcserélőkön jól ismert alkalmazásoknak próbálja magát álcázni. A megosztott meghajtókon pedig különböző exe és msi kiterjesztésű fájlokat fertőz meg.

Az Ackantta.H a regisztrációs adatbázis módosításával kezdi a tevékenységét, melynek során bejegyzéseket hoz létre, változtat meg, illetve töröl. Ezt követően eltávolítja a védelmi alkalmazásokhoz tartozó bejegyzéseket, szoláltatásokat, valamint leállítja a biztonsági szoftverek folyamatait. Ezzel jelentősen képes meggyengíteni a PC-k védelmét.

Az Ackantta.H további érdekes jellemzője, hogy amennyiben a fertőzött rendszeren fut IIS vagy Apache webszerver, akkor egyes weblapokat is módosít. Ezeket egy üzenettel, biztonsági riasztással egészíti ki, amely szerint az oldalon található linkről egy fontos frissítés érthető el. A valóságban ez a hivatkozás a vírus állományának letöltését szolgálja.

Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a rendszeren.

2. A regisztrációs adatbázisban létrehozza a következő kulcsokat:
HKEY_CURRENT_USER\Software\HP35
HKEY_LOCAL_MACHINE\Software\HP35

3. A regisztrációs adatbázisban módosítja az alábbi értékeket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\"hke8" = "[...]"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\"hke9" = "[...]"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"HP Software Updater v1.4" = "[elérési útvonal]"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\ StandardProfile\AuthorizedApplications\List\"[elérési útvonal]" = "[elérési útvonal]:*:Enabled:Explorer"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\"datarecovery" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\"UACDisableNotify" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\"EnableLUA"="0"

4. A regisztrációs adatbázisból kitörli a következő bejegyzéseket (amennyiben azok léteznek):
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"APVXDWIN"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"avast!"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"AVG8_TRAY"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"AVP"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"BDAgent"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"CAVRID"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"cctray"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"DrWebScheduler"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"egui"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"F-PROT Antivirus Tray application"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"ISTray"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"K7SystemTray"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"K7TSStart"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"McENUI"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"MskAgentexe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"OfficeScanNT Monitor"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"RavTask"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"SBAMTray"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"sbamui"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"SCANINICIO"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"Spam Blocker for Outlook Express"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"SpamBlocker"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"SpIDerMail"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"Windows Defender"

5. Eltávolítja a biztonsági szoftverekhez tartozó szolgáltatásokat.

6. Leállítja a védelmi alkalmazásokhoz tartozó folyamatokat.

7. A regisztrációs adatbázis alábbi kulcsában szereplő könyvtárból kitörli az mcshield.exe állományt (amennyiben az létezik)
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\AVEngine\"szInstallDir"

8. A regisztrációs adatbázis következő kulcsában szereplő mappából kitörli az összes állományt:
HKEY_LOCAL_MACHINE\SOFTWARE\Malwarebytes' Anti-Malware\"InstallPath"

9. Megkeresi a megosztott meghajtókon található azon exe és msi kiterjesztésű fájlokat, amelyek nevében szerepel az alábbi kifejezések valamelyike:
activa
crack
inst
keygen
setup

Ezeket a fájlokat felülírja a saját kódjával.

10. Bemásolja a saját állományait a következő könyvtárakba:
C:\Downloads\
C:\program files\emule\incoming\
C:\program files\grokster\my grokster\
C:\program files\icq\shared folder\
C:\program files\limewire\shared\
C:\program files\morpheus\my shared folder\
C:\program files\tesla\files\
C:\program files\winmx\shared\

11. Az alábbi fájlcserélő alkalmazások megosztott könyvtáraiba fertőzött fájlokat hoz létre:
DCPlusPlus
Frostwire
Kazaa

12. Minden cserélhető meghajtóra felmásolja a következő állományokat:
%DriveLetter%\RECYCLER\S-1-6-21-2434476521-1645641927-702000330-1542\redmond.exe
%DriveLetter%\autorun.inf

Ezeket rendszer, rejtett és csak olvasható attribútumokkal látja el.

13. Amennyiben a fertőzött rendszeren fut IIS vagy Apache webszerver, akkor az alapértelmezett weblapokat módosítja. Ezeken a következő szöveget helyezi el:
"Security warning!
Your browser affected by the DirectAnimation Path ActiveX vulnerability.
Please install the following MS09-092 hotfix in order to be able to watch this website."

14. Whois információkat kérdez le a whatismyip.com oldal felhasználásával.

15. Kikeresi az e-mail címeket a fertőzött rendszeren található, különböző kiterjesztésű állományokból.

16. Az összegyűjtött e-mail címekre elektronikus leveleket küldözget.

A fertőzött levelek tárgya lehet:
You have received A Hallmark E-Card!
Your friend invited you to Twitter!
Laura would like to be your friend on hi5!
Shipping update for your Amazon.com order
Thank you from Google!
You have got a new message on Facebook!

A fertőzött levelek mellékletéhez a következő állományok tartozhatnak:
Postcard.zip
Invitation Card.zip
Shipping documents.zip
CV-20100120-112.zip
Facebook message.zip