Matekozik a Savix féreg
A Savix nemcsak a számítógépek védelmi képességeit teszi próbára, hanem a felhasználók matematikai tudását is.
A Savix féreg a leggyakrabban használt meghajtók gyökér könyvtárába másolja be a saját állományait. Ezek közül az egyiket egészen egyszerűen csak “x”-nek nevezi el. Arról is gondoskodik, hogy cserélhető vagy hálózati meghajtók esetében automatikusan képes legyen betöltődni.
A Savix a regisztrációs adatbázis módosításával többek között letiltja a rejtett fájlok megjelenítését, elérhetetlenné teszi a Vezérlőpultot, valamint módosítja a parancssori eszközhöz (cmd.exe-hez) tartozó beállításokat.
A féreg legfőbb ismertetőjele, hogy időközönként egy felbukkanó ablakot jelenít meg, amelyben egy matematikai kérdést tesz fel a fertőzött számítógép felhasználójának. A kártékony programot a válasz már nem igazán érdekli, hiszen húsz másodperc elteltével mindenképpen újraindítja a Windowst.
Amikor a Savix féreg elindul, akkor az alábbi műveleteket hajtja végre:
- Létrehozza a következő állományokat.
c:\.x
d:\.x
e:\.x
f:\.x
g:\.x
h:\.x
i:\.x
c:\autorun.inf
d:\autorun.inf
e:\autorun.inf
f:\autorun.inf
g:\autorun.inf
h:\autorun.inf
i:\autorun.inf - A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:
HKEY_ALL_USERS\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
“userinit” = “\WINDOWS\system32/userinit.exe
C:\WINDOWS\system32\cmd.exe /C C:\.X
C:\WINDOWS\system32\cmd.exe /C D:\.X
C:\WINDOWS\system32\cmd.exe /C E:\.X
C:\WINDOWS\system32\cmd.exe /C F:\.X
C:\WINDOWS\system32\cmd.exe /C G:\.X
C:\WINDOWS\system32\cmd.exe /C H:\.X
C:\WINDOWS\system32\cmd.exe /C I:\.X” - A regisztrációs adatbázisban módosítja a következő értékeket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Winlogon”Userinit” = “\WINDOWS\system32/userinit.exe
C:\WINDOWS\system32\cmd.exe /C C:\.X
C:\WINDOWS\system32\cmd.exe /C D:\.X
C:\WINDOWS\system32\cmd.exe /C E:\.X
C:\WINDOWS\system32\cmd.exe /C F:\.X
C:\WINDOWS\system32\cmd.exe /C G:\.X
C:\WINDOWS\system32\cmd.exe /C H:\.X
C:\WINDOWS\system32\cmd.exe /C I:\.X”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL”CheckedValue” = “0” - A regisztrációs adatbázisban létrehozza az alábbi értékeket:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\
Windows NT\SystemRestore”DisableSR” = “1”
HKEY_ALL _USERS\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\ShowAll”CheckedValue” = “0”
HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer”NoControlPanel” = “1” - Megjelenít egy ablakot, amely egy matematikai kérdést tesz fel, majd 20 másodperc elteltével újraindítja a számítógépet.
