Frissítetlen Windowsokat támad az Aizu féreg

Az Aizu.G féreg elsősorban azokra a Windows operációs rendszert futtató számítógépekre jelent veszélyt, amelyek nem tartalmazzák a Microsoft különböző hibajavításait.

Az Aizu.G féreg két olyan biztonsági hibát igyekszik kihasználni, amelyeket a Microsoft már régen kijavított. Így a féreg azokra a számítógépekre jelent veszélyt, amelyek nem tartalmazzák az MS03-039-es és az MS04-011-es biztonsági közleményhez tartozó frissítéseket. Az Aizu.G a 445-ös TCP porton keresztül próbál terjedni. A fertőzött számítógépeken módosítja a Windows tűzfalának beállításait, és különböző fájlokat is letölt az Internetről.

Amikor az Aizu.G féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Bemásolja magát a Windows System könyvtárába aux32.exe néven.

2. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run
kulcsához hozzáadja az
“auxAudioDevice” = “%System%\aux32.exe” értéket.

3. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\S haredAccess\Parameters
\FirewallPolicy\StandardProfile\AuthorizedApplications \List
kulcsához hozzáadja a
“%System%\aux32.exe” = “%System%\aux32.exe:*:Enabled:aux32.exe” értéket.

4. Hálózati megosztásokon keresztül megpróbál további számítógépeket megfertőzni. A terjedéséhez igyekszik kihasználni az MS03-039-es és az MS04-011-es biztonsági közleményekben ismertetett sebezhetőségeket is.

5. Előre meghatározott weboldalakról letölt egy fájlt. A letöltött állományt a C meghajtó gyökér könyvtárába menti el zu.exe néven.

6. FTP segítségével különböző programokat tölt le, majd azokat lefuttatja.