Aemrant

Az Aemrant féreg a regisztrációs adatbázis manipulálásával rengeteg módosítást végez a rendszereken, amivel a fertőzés utáni helyreállítást is jelentősen megnehezítheti.
 

Az Aemrant féreg, amint rákerül egy számítógépre, néhány fájlt hoz létre a Windows egyes rendszerkönyvtáraiban, valamint parancsikonokat helyez el a Start menüben. Ezt követően nekilát a regisztrációs adatbázis manipulálásának, aminek következtében a Windows egyes funkcióinak működését igyekszik megváltoztatni. Módosítja a fájlmegjelenítési beállításokat, a biztonsági házirendekhez tartozó bejegyzéseket valamint az állományok futtatásával kapcsolatos paramétereket.

A féreg arról is gondoskodik, hogy a fertőzött rendszert ne lehessen csökkentett módban elindítani, és ezáltal eltávolítani a fájljait.

Az Aemrant féreg elsősorban cserélhető meghajtókon keresztül terjed. Az adattárolók gyökérkönyvtárába két fájlt másol be, és kihasználja a Windows Autorun lehetőségeit annak érdekében, hogy felhasználói közreműködés nélkül is be tudjon töltődni.


Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
%SystemDrive%\RECYCLER\S-2-35-91-1935983697-21235429265-18132174531-12132143-3243252-231-9890741\ApWrTZ.exe
%SystemDrive%\RECYCLER\S-2-35-91-1935983697-21235429265-18132174531-12132143-3243252-231-9890741\ffdshow.exe
%SystemDrive%\RECYCLER\S-2-35-91-1935983697-21235429265-18132174531-12132143-3243252-231-9890741\Desktop.ini
%SystemDrive%\RECYCLER\S-2-35-91-1935983697-21235429265-18132174531-12132143-3243252-231-9890741\system.exe
%UserProfile%\Start Menu\Programs\Startup\MultimediaCodec.lnk
%UserProfile%\Start Menu\Programs\Startup\MultimediaPlugin.lnk
%UserProfile%\Start Menu\Programs\Startup\PrinterDriver.lnk

2. Létrehozza az alábbi fájlt:
%SystemDrive%\RECYCLER\tAi.bat

3. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzést:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\"DisableConfig" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\"DisableSR" = "1"

4. A regisztrációs adatbázisban módosítja az alábbi étékeket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"HideFileExt" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"SuperHidden" = "1"
HKEY_CURRENT_USER\Control Panel\Desktop\"AutoEndTasks" = "1"
HKEY_CURRENT_USER\Control Panel\Desktop\"HungAppTimeout" = "5000"
HKEY_CURRENT_USER\Control Panel\Desktop\"WaitToKillAppTimeout" = "20000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"EnableLUA" = "0"

5. A regisztrációs adatbázis következő kulcsához új értékeket ad hozzá:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\

6. Módosítja a regisztrációs adatbázis következő értékét:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\"WaitToKillServiceTimeout" = "20000"

7. A regisztrációs adatbázis alábbi kulcsából értékeket töröl ki:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\

8. A cserélhető adattárolókra felmásolja az alábbi állományokat:
%meghajtó betűjele%\Thumbs.sdb
%meghajtó betűjele%\autorun.inf