Avendog

Az Avendog féreg nagyon sok módosítást végez a fertőzött rendszereken, és több esetben a Windows újraindítását is lehetetlenné teszi.
 

Az Avendog egy nagyon összetett kártékony program, amely mind fájlszintű műveletekkel, mind a regisztrációs adatbázis módosításával komoly változtatásokat eszközöl a fertőzött rendszereken. A kártevő a saját állományainak PC-re történő felmásolását követően először a regisztrációs adatbázis módosításának lát neki, amelyhez új bejegyzéseket fűz hozzá, illetve értékeket, kulcsokat módosít, és töröl. Ezzel többek között eléri azt, hogy a Windows tűzfala ne jelentsen számára akadályt a hálózati kommunikáció során, valamint gondoskodik arról, hogy a Windowst ne lehessen csökkentett módban újraindítani. Ennyivel azonban a féreg még nem éri be, ugyanis az operációs rendszer létfontosságú rendszerállományait is átnevezi vagy letörli, ezzel a Windows - bármilyen módban történő - betöltését képes megakadályozni.

Az Avendog elvégezte a kezdeti, romboló tevékenységét, megbénítja a futó védelmi alkalmazások működését, valamint módosítja a Windows hosts állományát. Amikor minden feladatát elvégezte, akkor egy hátsó kaput is nyit a rendszereken, amelyen keresztül a támadók az alábbi tevékenységeket végezhetik el:
- weboldalak megnyitása
- portszkennelés
- azonnali üzenetküldők igénybe vétele.

Az Avendog féreg elsősorban cserélhető meghajtókon, például pendrive-okon keresztül terjed.

Amikor a kártékony program elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományt:
%System%\MsCwClient.exe

2. Létrehozza az alábbi fájlt:
%UserProfile%\Application Data\[THREE RANDOM LOWERCASE CHARACTERS].dwq

3, Megfertőzi az explorer.exe folyamatot. Ezt arra is felhasználja, hogy ha a saját folyamata valamilyen ok miatt leállna,
akkor azonnal újra tudja azt indítani.

4. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
"conime.exe" = "conime.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\conime.exe\"Debugger" = "MsCwClient.exe"

5. A regisztrációs adatbázisban módosítja az alábbi értékeket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden" = "2"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\"AntiVirusOverride" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\"FirewallOverride" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers\"%System%\MsCwClient.exe" = "DisableNXShowUI"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\SuperHidden\"CheckedValue" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT\"DontReportInfectionInformation" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\"DisableConfig" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List\"%System%\MsCwClient.exe" = "%System%\MsCwClient.exe:*:Enabled:LAN Router"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"%System%\MsCwClient.exe" = "%System%\MsCwClient.exe:*:Enabled:LAN Router"

6. A regisztrációs adatbázisból kitörli az alábbi kulcsokat:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network

Ezzel megakadályozza, hogy a PC-t ne lehessen csökkentett módban újraindítani.

7. Rootkit összetevők révén megpróbálja a saját komponenseit elrejteni.

8. Átnevezi a c:\ntldr fájlt ("c:\dump"-ra), és megpróbálja megakadályozni, hogy a Windows az újraindítást követően újra be tudjon töltődni.

9. Letörli a következő állományt:
%System%\hal.dll

10. Csatlakozik egy előre meghatározott távoli szerverhez, és lefrissíti a saját állományait.

11. Minden cserélhető meghajtóra felmásolja a következő fájlokat:
%meghajtó betűjele%\~data\658769.exe
%meghajtó betűjele%\autorun.inf

12. Csatlakozik előre meghatározott IRC-szerverekhez, majd nyit egy hátsó kaput egy véletlenszerűen kiválasztott hálózati porton keresztül.

13. Leállítja a biztonsági szoftverekhez tartozó folyamatokat.

14. Módosítja a Windows hosts állományát.