Ahker.B

Szerző: ISBK | Utolsó módosítás: 2005.01.27.  | Veszélyesség: 


Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:

1. Bemásolja magát az alábbi könyvtárakba:
%Windir%\SERVICES.exe
%User Profile%\Start Menu\Programs\Startup\SERVICES.exe

2. A C meghajtó gyökér könyvtárába létrehoz egy ártalmatlan ""Norton Antivirus.txt"" nevű fájlt.

3. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\Run
kulcsához hozzáadja a
""Norton Auto-Protect"" = ""SERVICES.exe"" értéket.

4. A regisztrációs adatbázis
HKEY_CLASSES_ROOT\txtfile\shell\open\command
HKEY_LOCAL_MACHINE\txtfile\shell\open\command
kulcsaihoz hozzáadja a
[default] = ""SERVICES.EXE %1"" értéket.

5, Létrehozza az alábbi bejegyzéseket a regisztrációs adatbázisba:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ System\""DisableTaskMgr"" = ""dword:00000001""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ System\""DisableRegistryTools"" = ""dword:00000001""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\""NoRun"" = ""dword:00000001""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\""DisallowRun"" = ""1""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\DisallowRun\""1"" = ""regedit.exe""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\DisallowRun\""2"" = ""notepad.exe""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\DisallowRun\""3"" = ""wordpad.exe""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\DisallowRun\""4"" = ""write.exe""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\DisallowRun\""5"" = ""wuauclt.exe""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\DisallowRun\""6"" = ""wupdmgr.exe""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\DisallowRun\""7"" = ""C:\Program Files\MSN Messenger\msnmsgr.exe""

Ezzel megakadályozza a következő népszerű programok futását:
Task Manager
Registry Editor
Notepad
Wordpad
Windows Update
MSN Messenger

6. Létrehozza az alábbi bejegyzéseket a regisztrációs adatbázisba:
HKEY_LOCAL_MACHINE\Software\Microsoft\windows NT\CurrentVersion\systemrestore\""DisableSR"" = ""dword:00000001""
HKEY_CURRENT_USER\Software\Microsoft\windows NT\CurrentVersion\ systemrestore\""DisableSR"" = ""dword:00000001""
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\ WindowsUpdate\ AU\""NoAutoUpdate"" = ""dword:00000001""
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\ WindowsUpdate\ AU\""NoAutoUpdate"" = ""dword:00000001""
HKEY_LOCAL_MACHINE\Software\Microsoft\security center\ ""UpdatesDisableNotify"" = ""dword:00000001""
HKEY_CURRENT_USER\Software\Microsoft\security center\ ""UpdatesDisableNotify"" = ""dword:00000001""
HKEY_LOCAL_MACHINE\Software\Microsoft\security center\ ""FirewallDisableNotify"" = ""dword:00000001""
HKEY_CURRENT_USER\Software\Microsoft\security center\ ""FirewallDisableNotify"" = ""dword:00000001""
HKEY_LOCAL_MACHINE\Software\Microsoft\security center\ ""AntiVirusDisableNotify"" = ""dword:00000001""
HKEY_CURRENT_USER\Software\Microsoft\security center\ ""AntiVirusDisableNotify"" = ""dword:00000001""

Ezzel kikapcsolja a Windows beépített tűzfalát és az automatikus frissítéshez kapcsolódó szolgáltatásokat.

7. Létrehozza az alábbi bejegyzéseket a regisztrációs adatbázisba:
HKEY_CLASSES_ROOT\RDP.File\""Friendlytypename"" = ""@SERVICES.exe, -4004""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\RDP.File\""Friendlytypename"" = ""@SERVICES.exe, -4004""
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\app paths\LUALL.exe\[default] = ""SERVICES.exe""
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices-\""Windows Service"" = ""SERVICES.exe""
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\windowsupdate\auto update\[default] = ""SERVICES.exe""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Agent Hacker\[default] = ""W32.Ahker.B@mm""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Agent Hacker\""Version"" = ""B""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Agent Hacker\""Coded In"" = ""Visual Basic 6.0""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Agent Hacker\""Coded By = ""Agent Hacker""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Agent Hacker\""Spread"" = ""VIA Outlook""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Agent Hacker\""Exploit"" = ""Symantec Norton Antivirus Script Blocker Denial Of Service Vulnerability""
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ ActiveComputerName\ComputerName = ""Agent Hacker""
HKEY_LOCAL_MACHINE\software\Microsoft\ windowsnt\currentversion\""ProductId"" = ""Agent Hacker""
HKEY_LOCAL_MACHINE\system\wpa\ Key-MGM9K8XQ2GHRBGTP2TR93\""ProductID"" = ""Agent Hacker""

8. Leállítja az antivírus szoftverekhez és a biztonsági alkalmazásokhoz tartozó folyamatokat.

9. A hosts fájlhoz sorokat fűz hozzá.

10. Az Internetről letölt egy ahkerb.zip nevű fájlt, és bemásolja Fix_SP2.zip néven a C meghajtó gyökér könyvtárába.

11. A Windows címjegyzékében található email címekre továbbküldi magát.
A fertőzött levelek tárgya: Service Pack 2 BUG!!

A fertőzött levelek mellékletében található fájl neve:Fix_SP2.zip

12. Letörli a C:\Fix_SP2.zip állományt.
További hírek
 
Riasztások
  1. 3
    Docker Desktop sérülékenység

    A Docker Desktop egy biztonsági hibát tartalmaz.

  2. 4
    DrayTek Vigor sebezhetőség

    A DrayTek egy súlyos sérülékenységről számolt be a Vigor routerei kapcsán.

  3. 4
    VMware Tools sérülékenységek

    A VMware Tools két biztonsági frissítéssel gyarapodott.

  4. 3
    VMware vCenter Server hiba

    A VMware vCenter Serverben egy biztonsági hibára derült fény.

  5. 4
    VMware NSX biztonsági rések

    A VMware NSX-hez két biztonsági hibajavítás vált elérhetővé.

  6. 3
    ChromeOS sebezhetőség

    A Google egy biztonsági rést foltozott be a ChromeOS-en.

  7. 3
    nVidia CUDA Toolkit sérülékenységek

    Az NVIDIA több mint tíz biztonsági hibát javított a CUDA Toolkit kapcsán.

  8. 4
    Apple iOS/iPadOS sérülékenység

    Az Apple soron kívüli biztonsági javítást tett elérhetővé az iOS és az iPadOS operációs rendszereihez.

  9. 4
    Apple macOS hibajavítás

    Az Apple fontos biztonsági javítást adott ki a macOS operációs rendszerhez.

  10. 3
    Llama Stack biztonsági hiba

    Az Llama Stackhez egy biztonsági hibajavítás vált elérhetővé.

 

BitDefender Family Pack 15 eszköz 3 év Új licenc
38490 Ft
Bitdefender Antivirus Plus 3 eszköz 3 év
16990 Ft
Partnerhírek
​Iskolakezdés: így készítsük fel a gyerekek első telefonját vagy laptopját

Az iskolakezdés sok családban nemcsak a füzetek és tolltartók beszerzését jelenti, hanem az első saját okoseszköz – telefon, tablet vagy laptop – megvásárlását is a gyerekek számára.

Terjed a hamis hibaüzenetekkel támadó ClickFix kártevő

Az ESET közzétette legfrissebb kiberfenyegetettségi jelentését, amely a 2024. december és 2025. május közötti időszakban tapasztalt kiberkockázatokat mutatja be

További partnerhírek >>
hirdetés
Kiemelt hírek
Közösség

OLDALUNK

RSS
Impresszum
Hirdetési információk
Adatvédelem
Felhasználási feltételek
Hozzászólási szabályzat

ROVATOK

Adatbiztonság
Családbiztonsag
Mobilbiztonság
Sebezhetőségek
Vírusvédelem

PARTNEREK

Androgeek
Hírposta
Hírhányó
Hírstart
Copyright by Isidor - Minden jog fenntartva!