Autorun.FQ

A vírusírók az elmúlt időszakokban egyre gyakrabban vetették be az úgynevezett "Autorun.inf"-re épülő trükkjüket, amelynek révén minimális felhasználói beavatkozás mellett is képesek telepíteni a kártékony programjukat a kiszemelt rendszerekre. E számítógépes kártevők talán legismertebb családját az Autorun férgek alkotják, amelyek most egy újabb variánssal egészültek ki.

Az Autorun.FQ - hasonlóan az eddigi változatokhoz - elsősorban cserélhető meghajtókon, főként pendrive-okon keresztül terjed. Amint a felhasználó csatlakoztat egy ilyen adattárolót, akkor a féreg azonnal megpróbál betöltődni. Megfelelő körültekintés és vírusvédelem hiányában mindez nagy valószínűséggel sikerül is számára. Ezt követően néhány állományt hoz létre a Windows különböző könyvtáraiban, majd módosítja a regisztrációs adatbázist. Végül pedig feltérképezi a számítógéphez csatlakoztatott cserélhető meghajtókat, amelyekre egytől-egyig felmásolja a saját állományait, köztük egy autorun.inf nevű fájlt is.

A féreg által a cserélhető meghajtókon - az autorun.inf mellett - létrehozott állomány neve minden esetben valamely jól ismert windowsos alkalmazásra utal, így az meglehetősen megtévesztő.

Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő könyvtárat:
%Root%\RECYCLER\S-1-5-21-4616592079-8080907928-828616482-2104

2. A fenti könyvtárba bemásolja az alábbi állományokat:
Desktop.ini
Sysdate.exe
Wuaclt.exe

3. A regisztrációs adatbázishoz hozzáadja a következő értéket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Taskman" \%Root%\RECYCLER\S-1-5-21-4616592079-8080907928-828616482-2104\[fájl neve].exe

4. Minden cserélhető meghajtó gyökér könyvtárába létrehoz egy Autorun.inf nevű állományt. Ezzel eléri, hogy az adattároló újbóli csatlakoztatáskor automatikusan be tudjon töltődni.

5. A cserélhető meghajtókon létrehozza az alábbi könyvtárat:
%meghajtó betűjele%\Temp[véletlenszerű számok]

6. A fenti könyvtárba bemásolja a következő fájlokat:
Dekstop.ini
[Windows alkalmazás nevét tartalmazó fájlnév].exe

7. Csatlakozik egy előre meghatározott távoli szerverhez a 11223-as UDP porton keresztül.