Assiral.B
Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:
1. Bemásolja magát az alábbi könyvtárakba:
%Windir%\SP00Lsv32.pif
%System%\MSLARISSA.pif
%System%\CmdPrompt32.pif
2. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
kulcsához hozzáadja a
""MSLARISSA"" = ""%System%\MSLARISSA.pif""
""Command Prompt32"" = ""%System%\CmdPrompt32.pif""
""(L4r1$$4) (4nt1) (V1ruz)"" = ""%Windir%\SP00Lsv32.pif"" értékeket.
3. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a rendszerben.
4. Létrehozza, majd lefuttatja az alábbi állományt:
C:\WINDOWS\WinVBS.vbs.
5. Beállítja a regisztrációs adatbázis következő értékeit:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\Explorer\""NoRun"" = ""1""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\System\""DisableRegistryTools"" = ""1""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\WinOldApp\""Disabled"" = ""1""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\Explorer\""NoDrives"" = ""67108863""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\System\""NoAdminPage"" = ""1""
Ezzel kikapcsolja a Windows számos funkcióját.
6. Elindít egy webböngészőt, és letölt egy Trojan.Klassir nevű trójait.
7. Leállítja a víruskeresőkhöz és egyéb biztonsági szoftverekhez tartozó folyamatokat.
8. Letörli az alábbi könyvtárakban található DLL és EXE kiterjesztésű fájlokat.
C:\WINDOWS\System32
C:\WINDOWS\System
C:\WINDOWS
9. Megjelenít egy hibaüzenetet ""System Error"" címsorral és ""Invalid memory address: Program terminating."" üzenettel.
10. Létrehoz három szöveges fájlt az alábbi neveken:
C:\MESSAGE_TO_USER.txt
C:\MESSAGE_TO_AVs.txt
C:\MESSAGE_TO_BROPIA.txt
11. A saját SMTP komponensének segítségével elektronikus levelek útján megpróbálja magát továbbküldeni.
A fertőzött levelek tárgya lehet:
Re: Message
Re: Letter
Re: Information
I LOVE YOU
Re: Your Documents
Re: Account Info
Windows Update
Re: My Letter
Re: Docs
Re: Your Email Info
A fertőzött levelek üzenete lehet:
The message is located in the attachments.
The letter you requested is in the attachments.
Information attached.
Kindly read and reply to my LOVE LETTER in the attachments :-)
The documents you requested are in the attachments.
Info reguarding your Email account is in the attachments.
Dear Windows User,
Please download the windows update included in the attachments.
My letter is in the attachments.
Please read the documents included in the attachments
Your email account is about to expire, please check the attachments for details.
A fertőzött levelek mellékletében szereplő fájlok neve az alábbi listából kerül ki:
Letter.exe
Information.exe
LOVE_LETTER_FOR_YOU.exe
Documents.exe
Attached_Message.exe
Microsoft_Update.exe
Private_Letter.exe
Private_Document.exe
Important_Message.exe.
-
A ClamAV kapcsán két biztonsági hiba javítására kell figyelmet fordítani.
-
Az Apache Commons két biztonsági hibajavítással egészült ki.
-
A Citrix Secure Access Client egy biztonsági hibajavítást kapott.
-
A Google Chrome legfrsisebb kiadása két biztonsági hibajavítással érkezett.
-
Az Apache Tomcathez több biztonsági hibajavítás érkezett.
-
A Veeam Backup & Replication két sérülékenység miatt szorul frissítésre.
-
A Tenable három biztonsági hibát javított az Agent alkalmazásban.
-
A Microsoft az Edge webböngészőhöz két hibajavítást adott ki.
-
A Trend Micro Password Manager egy biztonsági hibát tartalmaz.
-
Az IBM kilenc sérülékenységről számolt be a Security QRadar EDR-rel összefüggésben.
Az ESET kiberbiztonsági szakértői most összefoglalják, milyen más módszerekkel lophatják el a személyes adatainkat – és mit tehetünk azért, hogy ez ne történhessen meg.
Az ESET kutatói átfogó elemzést tettek közzé a zsarolóvírus ökoszisztémában bekövetkezett jelentős változásokról, különös figyelmet fordítva a domináns RansomHub csoportra.
OLDALUNK
RSSImpresszum
Hirdetési információk
Adatvédelem
Felhasználási feltételek
Hozzászólási szabályzat