Assiral.B
Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:
1. Bemásolja magát az alábbi könyvtárakba:
%Windir%\SP00Lsv32.pif
%System%\MSLARISSA.pif
%System%\CmdPrompt32.pif
2. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
kulcsához hozzáadja a
""MSLARISSA"" = ""%System%\MSLARISSA.pif""
""Command Prompt32"" = ""%System%\CmdPrompt32.pif""
""(L4r1$$4) (4nt1) (V1ruz)"" = ""%Windir%\SP00Lsv32.pif"" értékeket.
3. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a rendszerben.
4. Létrehozza, majd lefuttatja az alábbi állományt:
C:\WINDOWS\WinVBS.vbs.
5. Beállítja a regisztrációs adatbázis következő értékeit:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\Explorer\""NoRun"" = ""1""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\System\""DisableRegistryTools"" = ""1""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\WinOldApp\""Disabled"" = ""1""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\Explorer\""NoDrives"" = ""67108863""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\System\""NoAdminPage"" = ""1""
Ezzel kikapcsolja a Windows számos funkcióját.
6. Elindít egy webböngészőt, és letölt egy Trojan.Klassir nevű trójait.
7. Leállítja a víruskeresőkhöz és egyéb biztonsági szoftverekhez tartozó folyamatokat.
8. Letörli az alábbi könyvtárakban található DLL és EXE kiterjesztésű fájlokat.
C:\WINDOWS\System32
C:\WINDOWS\System
C:\WINDOWS
9. Megjelenít egy hibaüzenetet ""System Error"" címsorral és ""Invalid memory address: Program terminating."" üzenettel.
10. Létrehoz három szöveges fájlt az alábbi neveken:
C:\MESSAGE_TO_USER.txt
C:\MESSAGE_TO_AVs.txt
C:\MESSAGE_TO_BROPIA.txt
11. A saját SMTP komponensének segítségével elektronikus levelek útján megpróbálja magát továbbküldeni.
A fertőzött levelek tárgya lehet:
Re: Message
Re: Letter
Re: Information
I LOVE YOU
Re: Your Documents
Re: Account Info
Windows Update
Re: My Letter
Re: Docs
Re: Your Email Info
A fertőzött levelek üzenete lehet:
The message is located in the attachments.
The letter you requested is in the attachments.
Information attached.
Kindly read and reply to my LOVE LETTER in the attachments :-)
The documents you requested are in the attachments.
Info reguarding your Email account is in the attachments.
Dear Windows User,
Please download the windows update included in the attachments.
My letter is in the attachments.
Please read the documents included in the attachments
Your email account is about to expire, please check the attachments for details.
A fertőzött levelek mellékletében szereplő fájlok neve az alábbi listából kerül ki:
Letter.exe
Information.exe
LOVE_LETTER_FOR_YOU.exe
Documents.exe
Attached_Message.exe
Microsoft_Update.exe
Private_Letter.exe
Private_Document.exe
Important_Message.exe.
-
A GIMP egy jogosulatlan kódfuttatásra módot adó hibát tartalmaz.
-
A Zyxel egyes AP-k esetében egy biztonsági rést foltozott be.
-
A Google Chrome kritikus biztonsági frissítést kapott.
-
Az ImageMagick négy sebezhetőség miatt kapott frissítést.
-
A Git fontos biztonsági hibajavításokat kapott.
-
Az Apache HTTP Server jelentős biztonsági frissítést kapott.
-
A Lenovo Vantage három biztonsági javítással bővült.
-
A Splunk Enterprise-hoz biztonsági frissítések érkeztek.
-
Az Adobe kritikus veszélyességű hibákat is javított a ColdFusion esetében.
-
Az Adobe kiadta az Illsutrator legújabb verzióit, amelyek révén 10 biztonsági hibát szüntetett meg.
A nyári szünet idején a gyerekek több időt töltenek otthon, sokszor felügyelet nélkül – ez pedig nemcsak a fizikai, hanem az online biztonság szempontjából is kihívásokat jelent.
Az ESET kiberbiztonsági szakértői most összefoglalják, milyen más módszerekkel lophatják el a személyes adatainkat – és mit tehetünk azért, hogy ez ne történhessen meg.
OLDALUNK
RSSImpresszum
Hirdetési információk
Adatvédelem
Felhasználási feltételek
Hozzászólási szabályzat