Ahker.B

Szerző: ISBK | Utolsó módosítás: 2005.01.27.  | Veszélyesség: 


Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:

1. Bemásolja magát az alábbi könyvtárakba:
%Windir%\SERVICES.exe
%User Profile%\Start Menu\Programs\Startup\SERVICES.exe

2. A C meghajtó gyökér könyvtárába létrehoz egy ártalmatlan ""Norton Antivirus.txt"" nevű fájlt.

3. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\Run
kulcsához hozzáadja a
""Norton Auto-Protect"" = ""SERVICES.exe"" értéket.

4. A regisztrációs adatbázis
HKEY_CLASSES_ROOT\txtfile\shell\open\command
HKEY_LOCAL_MACHINE\txtfile\shell\open\command
kulcsaihoz hozzáadja a
[default] = ""SERVICES.EXE %1"" értéket.

5, Létrehozza az alábbi bejegyzéseket a regisztrációs adatbázisba:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ System\""DisableTaskMgr"" = ""dword:00000001""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ System\""DisableRegistryTools"" = ""dword:00000001""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\""NoRun"" = ""dword:00000001""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\""DisallowRun"" = ""1""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\DisallowRun\""1"" = ""regedit.exe""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\DisallowRun\""2"" = ""notepad.exe""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\DisallowRun\""3"" = ""wordpad.exe""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\DisallowRun\""4"" = ""write.exe""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\DisallowRun\""5"" = ""wuauclt.exe""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\DisallowRun\""6"" = ""wupdmgr.exe""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\DisallowRun\""7"" = ""C:\Program Files\MSN Messenger\msnmsgr.exe""

Ezzel megakadályozza a következő népszerű programok futását:
Task Manager
Registry Editor
Notepad
Wordpad
Windows Update
MSN Messenger

6. Létrehozza az alábbi bejegyzéseket a regisztrációs adatbázisba:
HKEY_LOCAL_MACHINE\Software\Microsoft\windows NT\CurrentVersion\systemrestore\""DisableSR"" = ""dword:00000001""
HKEY_CURRENT_USER\Software\Microsoft\windows NT\CurrentVersion\ systemrestore\""DisableSR"" = ""dword:00000001""
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\ WindowsUpdate\ AU\""NoAutoUpdate"" = ""dword:00000001""
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\ WindowsUpdate\ AU\""NoAutoUpdate"" = ""dword:00000001""
HKEY_LOCAL_MACHINE\Software\Microsoft\security center\ ""UpdatesDisableNotify"" = ""dword:00000001""
HKEY_CURRENT_USER\Software\Microsoft\security center\ ""UpdatesDisableNotify"" = ""dword:00000001""
HKEY_LOCAL_MACHINE\Software\Microsoft\security center\ ""FirewallDisableNotify"" = ""dword:00000001""
HKEY_CURRENT_USER\Software\Microsoft\security center\ ""FirewallDisableNotify"" = ""dword:00000001""
HKEY_LOCAL_MACHINE\Software\Microsoft\security center\ ""AntiVirusDisableNotify"" = ""dword:00000001""
HKEY_CURRENT_USER\Software\Microsoft\security center\ ""AntiVirusDisableNotify"" = ""dword:00000001""

Ezzel kikapcsolja a Windows beépített tűzfalát és az automatikus frissítéshez kapcsolódó szolgáltatásokat.

7. Létrehozza az alábbi bejegyzéseket a regisztrációs adatbázisba:
HKEY_CLASSES_ROOT\RDP.File\""Friendlytypename"" = ""@SERVICES.exe, -4004""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\RDP.File\""Friendlytypename"" = ""@SERVICES.exe, -4004""
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\app paths\LUALL.exe\[default] = ""SERVICES.exe""
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices-\""Windows Service"" = ""SERVICES.exe""
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\windowsupdate\auto update\[default] = ""SERVICES.exe""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Agent Hacker\[default] = ""W32.Ahker.B@mm""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Agent Hacker\""Version"" = ""B""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Agent Hacker\""Coded In"" = ""Visual Basic 6.0""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Agent Hacker\""Coded By = ""Agent Hacker""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Agent Hacker\""Spread"" = ""VIA Outlook""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Agent Hacker\""Exploit"" = ""Symantec Norton Antivirus Script Blocker Denial Of Service Vulnerability""
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ ActiveComputerName\ComputerName = ""Agent Hacker""
HKEY_LOCAL_MACHINE\software\Microsoft\ windowsnt\currentversion\""ProductId"" = ""Agent Hacker""
HKEY_LOCAL_MACHINE\system\wpa\ Key-MGM9K8XQ2GHRBGTP2TR93\""ProductID"" = ""Agent Hacker""

8. Leállítja az antivírus szoftverekhez és a biztonsági alkalmazásokhoz tartozó folyamatokat.

9. A hosts fájlhoz sorokat fűz hozzá.

10. Az Internetről letölt egy ahkerb.zip nevű fájlt, és bemásolja Fix_SP2.zip néven a C meghajtó gyökér könyvtárába.

11. A Windows címjegyzékében található email címekre továbbküldi magát.
A fertőzött levelek tárgya: Service Pack 2 BUG!!

A fertőzött levelek mellékletében található fájl neve:Fix_SP2.zip

12. Letörli a C:\Fix_SP2.zip állományt.
További hírek
 
Riasztások
  1. 4
    GIMP sérülékenységek

    A GIMP egy jogosulatlan kódfuttatásra módot adó hibát tartalmaz.

  2. 3
    Zyxel AP biztonsági hiuba

    A Zyxel egyes AP-k esetében egy biztonsági rést foltozott be.

  3. 4
    Google Chrome frissítések

    A Google Chrome kritikus biztonsági frissítést kapott.

  4. 4
    ImageMagick sebezhetőségek

    Az ImageMagick négy sebezhetőség miatt kapott frissítést.

  5. 4
    Git biztonsági javítások

    A Git fontos biztonsági hibajavításokat kapott.

  6. 4
    Apache HTTP Server frissítés

    Az Apache HTTP Server jelentős biztonsági frissítést kapott.

  7. 3
    Lenovo Vantage sebezhetőségek

    A Lenovo Vantage három biztonsági javítással bővült.

  8. 3
    Splunk Enterprise biztonsági hibák

    A Splunk Enterprise-hoz biztonsági frissítések érkeztek.

  9. 4
    Adobe ColdFusion hibák

    Az Adobe kritikus veszélyességű hibákat is javított a ColdFusion esetében.

  10. 4
    Adobe Illustrator sebezhetőségek

    Az Adobe kiadta az Illsutrator legújabb verzióit, amelyek révén 10 biztonsági hibát szüntetett meg.

 

G Data Internet Security 1 év 4 eszköz Hosszabbítás
18600 Ft
G Data Total Security 1 év 5 eszköz Hosszabbítás
24600 Ft
F-Secure Internet Security 1 eszköz 2 év
13490 Ft
Partnerhírek
Hogyan védhetjük meg a gyerekeket a kibertérben?

A nyári szünet idején a gyerekek több időt töltenek otthon, sokszor felügyelet nélkül – ez pedig nemcsak a fizikai, hanem az online biztonság szempontjából is kihívásokat jelent.

​A csaló telefonhívásokon és a nem létező gázszámlákon túl

Az ESET kiberbiztonsági szakértői most összefoglalják, milyen más módszerekkel lophatják el a személyes adatainkat – és mit tehetünk azért, hogy ez ne történhessen meg.

További partnerhírek >>
hirdetés
Kiemelt hírek
Közösség

OLDALUNK

RSS
Impresszum
Hirdetési információk
Adatvédelem
Felhasználási feltételek
Hozzászólási szabályzat

ROVATOK

Adatbiztonság
Családbiztonsag
Mobilbiztonság
Sebezhetőségek
Vírusvédelem

PARTNEREK

Androgeek
Hírposta
Hírhányó
Hírstart
Copyright by Isidor - Minden jog fenntartva!