Jesse: a Windows gyilkos féreg

Az MSN Messengeren keresztül tejredő Jesse féreg nagyon komoly károkat okoz a fertőzött rendszereken, és működésképtelenné teszi a Windowst.

A Jesse féreg elsősorban az MSN Messengeren keresztül próbál meg minél több számítógépet megfertőzni. A féreg a „C” illetve az „A” meghajtó gyökér könyvtáraiban található fájlokból készít egy másolatot, majd az eredeti állományokat letörli. Ezt követően számos módosítást végez a regisztrációs adatbázisban, és meggátolja a Feladatkezelőhöz, a Vezérlőpulthoz, a regisztrációs adatbázis szerkesztőjéhez és az egyéb rendszerfunkciókhoz tartozó ablakok megnyitását.

A Jesse a kártékony műveleteinek elvégzése után újraindítja a számítógépet, azonban azon a Windows a törölt fájlok valamint az egyéb módosítások miatt már nem fog tudni ismét betöltődni.

Amikor a Jesse féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlt
%System%\drivers\etc\jesse.exe.

2. Megvizsgálja az A és a C meghajtó gyökér könyvtáraiban található fájlokat. Az ott található állományok mindegyikéből készít egy másolatot exe kiterjesztéssel, majd az eredeti fájlokat letörli.

3. Létrehozz a következő állományokat:
A:\Autor.txt
C:\Autor.txt
%System%\Antlist.bat
%System%\win_nt.bat
%System%\systemwork.bat

4. Módosítja a regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\System
kulcsában szereplő
“DisableTaskMgr” = “1” értéket.
Ezzel elérhetetlenné teszi a Windows Feladatkezelőjét.

5. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Run
kulcsához hozzáadja a
“a” = “%System%\drivers\etc\jesse.exe” értéket.

6. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\day\\\umber
kulcsához hozzáadja a
“nday” = “[…]” értéket.

7. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\ok\jessy
kulcsához hozzáadja a
“virus” = “infectado” értéket.

8. Leállítja a biztonsági szoftverekhez tartozó folyamatokat.

9. Megpróbálja bezárni a Feladatkezelőhöz, a Vezérlőpulthoz, a regisztrációs adatbázis szerkesztőjéhez és az egyéb rendszerfunkciókhoz tartozó ablakokat

10. Megjelenít egy üzenetablakot “PROMOCION TELCEL” vagy “Protection” címsorral.

11. Elérhetetlenné teszi a MSN Instant Messenger ablakát.

12. Kitörli a regisztrációs adatbázis következő kulcsait:
HKEY_LOCAL_MACHINE\software\microsoft
HKEY_LOCAL_MACHINE\hardware
HKEY_CURRENT_USER\software\microsoft
HKEY_CURRENT_USER\hardware

13. Újraindítja a számítógépet, viszont a Windows már többé nem tud újra betöltődni.