Ainslot.B

Az Ainslot.B féreg elsősorban bizalmas adatok kiszivárogtatására specializálódott, de emellett teljes mértékben kiszolgáltatottá teheti a fertőzött rendszereket a támadókkal szemben.
 

Az Ainslot.B féreg elsősorban cserélhető adathordozókon valamint azonnali üzenetküldőkön keresztül terjed. Az utóbbi esetben a Windows Live Messenger vagy az AIM szolgáltatásait részesíti előnyben. Amennyiben a fertőzött számítógépen hozzáfér az említett két alkalmazás címjegyzékéhez, akkor annak felhasználásával kártékony weboldalakra mutató hivatkozásokat tartalmazó üzeneteket kezd el küldözgetni.

Az Ainslot.B első teendői közé tartozik, hogy a Windows beépített tűzfalát hatástalanítja, majd csatlakozik egy előre meghatározott távoli szerverhez. A kiszolgálóról különféle adatokat és állományokat tölt le, majd rendszerinformációkat szivárogtat ki.

Az Ainslot.B folyamatosan figyelemmel kíséri a billentyűleütéseket, és ezáltal bizalmas információkat igyekszik bezsebelni.



Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
[kezdőkönyvtár]/[a féreg fájlneve].exe
%Temp%/wvxfr-dp.0.cs
%Temp%/wvxfr-dp.cmdline
%Temp%/wvxfr-dp.dll
%Temp%/wvxfr-dp.out
%AppData%/bot.exe
%AppData%/svchost.exe
%Temp%/csce.tmp
%Temp%/resf.tmp

2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
HKLM/SYSTEM/CurrentControlSet/Services/SharedAccess/
Parameters/FirewallPolicy/StandardProfile/
AuthorizedApplicationsList%AppData%bot.exe"%AppData%bot.exe:*:enabled:windows messanger"

3. Megpróbál azonnali üzenetküldőkön keresztül terjedni. Ehhez a Windows Live Messenger vagy az AIM szolgáltatásait használja.

4. Felmásolja a saját állományait a csatlakoztatott cserélhető adattárolókra, amelyek gyökérkönyvtárába egy autorun.inf nevű fájlt is létrehoz.

4. Nyit egy hátsó kaput a fertőzött rendszeren.

5. Csatlakozik előre meghatározott távoli szerverekhez a 3080-as TCP porton keresztül.

6. Rendszerinformációkat szivárogtat ki a fertőzött számítógéppel kapcsolatban.

7. Konfigurációs adatokat és különféle fájlokat tölt le.

8. Várakozik a támadók további parancsaira.

9. Folyamatosan naplózza a billentyűleütéseket. Az ezzel kapcsolatban keletkező adatokat az alábbi fájlba menti el:
AppData%data.dat