Kártevőket tölt le a Fubalca féreg

A Fubalca.E féreg elsősorban cserélhető adattárolókon keresztül terjed, és különböző kártékony kódokat tölt le az Interneten keresztül.

A Fubalca.E féreg a fertőzött számítógépeken az összes írható meghajtóra felmásolja saját magát. A kártevő arról is gondoskodik, hogy a cserélhető adattárolók esetében azok újbóli csatlakoztatásakor automatikusan elinduljon.

A Fubalca.E egy “WindowsDown” nevű szolgáltatást hoz létre, majd az svchost.exe állomány mögé próbál meg elrejtőzi. Ezt követően fájlokat tölt le előre meghatározott távoli szerverekről, amelyeket a Windows System könyvtárába ment el.

Amikor a Fubalca.E féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlt:
%System%\servet.exe

2. A regisztrációs adatbázisban módosítja a következő bejegyzést:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\Explorer”NoDriveTypeAutoRun” = “0”

3. Minden írható meghajtó gyökér könyvtárába létrehoz egy AutoRun.inf állományt

4. A rendszerdátumot 1981. január 12-ére állítja át, abban az esetben ha a %System%\drivers\klick.sys állomány létezik.

5. Létrehoz egy “WindowsDown” nevű szolgáltatást

6. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzést:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W indowsDown

7. A féreg %System%\svchost.exe állomány felhasználásával megpróbálja saját magát elrejteni.

8. Előre meghatározott szerverekről fájlokat tölt le, majd azokat elmenti a Windows System könyvtárába.