Autorun.IYQ
Szerző: ISBK | Utolsó módosítás: 2009.05.19. | Veszélyesség: 
Az Autorun.IYQ - ahogy azt a neve is jól mutatja - elsősorban az úgynevezett Autorun technikát használja ki a terjedése során. A féreg ugyanis a cserélhető és hálózati adattorlók gyökér könyvtárába egy autorun.inf nevű állományt is bemásol, amellyel biztosítja, hogy a kódja a meghajtók újbóli csatlakoztatásakor automatikusan be tudjon töltődni.
Az Autorun.IYQ a regisztrációs adatbázisban új bejegyzéseket hoz létre, módosít, illetve töröl. Ezzel többek között azt is eléri, hogy a Windows csökkentett módban történő újraindításakor is működőképes maradjon. Mindemellett különböző fájlokat igyekszik elrejteni a felhasználó elől. Ezt követően olyan módosításokat végez, amelyek révén egyes alkalmazások - köztük biztonsági szoftverek - futását is képes lehet megakadályozni.
Az Autorun.IYQ ugyan igyekszik rejtve maradni a fertőzött számítógépeken, azonban néhány tevékenységével mégis felhívhatja magára a figyelmet. Ezek közé tartozik például az, hogy a kártevő a rendszerdátumot 2005.04.20-ra állítja vissza.
Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományokat:
C:\UDKSX.EXE
C:\AUTORUN.INF
%Windows%\%System%\ANURG.EXE
2. A Windows HOSTS állományát felülírja egy üres szöveges fájllal.
3. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\anurg.exe = %sysdir%\anurg.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\udksx.exe = %sysdir%\udksx.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun = 91
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies\WriteProtect = 00, 00, 00, 00
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ MountPoints2\ {deb59403-ec73-11d6-ab8e-806d6172696f}\ shell\ explore\(Default) = ×EÔ´1ÜAíA÷(&X)
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ MountPoints2\ {deb59403-ec73-11d6-ab8e-806d6172696f}\ shell\ explore\ Command\(Default) = C:\udksx.exe
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ MountPoints2\ {deb59403-ec73-11d6-ab8e-806d6172696f}\ shell\ open\(Default) = ´o?a(&O)
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ MountPoints2\ {deb59403-ec73-11d6-ab8e-806d6172696f}\ shell\ open\ Command\(Default) = C:\udksx.exe
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ MountPoints2\ {deb59403-ec73-11d6-ab8e-806d6172696f}\ shell\ open\ Default\(Default) = 1
4. A regisztrációs adatbázisban létrehozza a következő értékeket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AgentSvr.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FYFireWall.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\USBCleaner.exe
5. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%Servicename%\Start = 04, 00, 00, 00
értékét minden olyan ponton módosítja, amelyek az alábbi szolgáltatásokra vonatkoznak:
- Wuauserv (Windows Update AutoUpdate Service)
- Wscsvc (Windows Security Center Service)
- SharedAccess (Windows Firewall Service)
- Helpsvc (Help Service)
- RSPPSYS
6. A regisztrációs adatbázisban módosítja a következő értékeket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden = 00, 00, 00, 00
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden = 00, 00, 00, 00
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\Folder\SuperHidden\Type = checkbox2
7. A regisztrációs adatbázisból kitörli az alábbi kulcsokat:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue = 01, 00, 00, 00
8. Lecserél egyes fájlokhoz tartozó ikonokat.
9. Minden helyi, cserélhető és hálózati meghajtó gyökér könyvtárába felmásolja a saját állományát és egy AUTORUN.INF nevű fájlt.
-
A GIMP egy jogosulatlan kódfuttatásra módot adó hibát tartalmaz.
-
A Zyxel egyes AP-k esetében egy biztonsági rést foltozott be.
-
A Google Chrome kritikus biztonsági frissítést kapott.
-
Az ImageMagick négy sebezhetőség miatt kapott frissítést.
-
A Git fontos biztonsági hibajavításokat kapott.
-
Az Apache HTTP Server jelentős biztonsági frissítést kapott.
-
A Lenovo Vantage három biztonsági javítással bővült.
-
A Splunk Enterprise-hoz biztonsági frissítések érkeztek.
-
Az Adobe kritikus veszélyességű hibákat is javított a ColdFusion esetében.
-
Az Adobe kiadta az Illsutrator legújabb verzióit, amelyek révén 10 biztonsági hibát szüntetett meg.
Partnerhírek
Hogyan védhetjük meg a gyerekeket a kibertérben?
A nyári szünet idején a gyerekek több időt töltenek otthon, sokszor felügyelet nélkül – ez pedig nemcsak a fizikai, hanem az online biztonság szempontjából is kihívásokat jelent.
A csaló telefonhívásokon és a nem létező gázszámlákon túl
Az ESET kiberbiztonsági szakértői most összefoglalják, milyen más módszerekkel lophatják el a személyes adatainkat – és mit tehetünk azért, hogy ez ne történhessen meg.
hirdetés
Kiemelt hírek
Közösség
OLDALUNK
RSSImpresszum
Hirdetési információk
Adatvédelem
Felhasználási feltételek
Hozzászólási szabályzat
Copyright by Isidor - Minden jog fenntartva!