Eboscro-worm: eenvoudig maar schadelijk

Ondanks zijn relatief eenvoudige bediening, kan de Eboscro-worm het beveiligingssysteem van geïnfecteerde computers aanzienlijk verzwakken, en het getroffen systeem opent ook een achterdeur.

De Eboscro-worm verspreidt zich voornamelijk via schijven die zijn aangesloten op het netwerk en verwisselbare opslagapparaten. De worm zorgt er ook voor dat de datastore automatisch start wanneer deze beschikbaar komt.

Eboscro stopt processen met betrekking tot beveiligingssoftware en stelt reeds geïnfecteerde systemen bloot aan aanvullende malware. Bovendien opent het ook een achterpoort waardoor aanvallers verschillende kwaadaardige acties kunnen uitvoeren.

Wanneer de Eboscro-worm start, voert deze de volgende acties uit:

1. Maak de volgende bestanden aan:
% Systeem% \ hdcu.exe
% Systeem% \ iexplore.exe
% Systeem% \ aKiller.dll

2. De registratiedatabase
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
voegt toe aan je sleutel
“ShellEffect” = “% Systeem% \ iexplore.exe”.

3. Maak de volgende vermeldingen aan in de registratiedatabase:
HKEY_CLASSES_ROOT \ aKiller.TAdKillerBHO
HKEY_CLASSES_ROOT\CLSID\{A692062A-11A1-461B-BE98-B987F 01F96FC}
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Huidige versie
\Explorer\Browser Helper Objects\{A692062A-11A1-461B-BE98-B987F01F96FC}

4. Maak de volgende vermeldingen op netwerk- en verwisselbare schijven:
[stationsletter]: \escro.exe
[stationsletter]: \ autorun.inf

5. Stopt de processen die zijn gekoppeld aan de verschillende beveiligingssoftware

6. Open een achterdeur via TCP-poort 8111 en wacht op commando's van de aanvaller. ze kunnen de volgende bewerkingen uitvoeren met behulp van de worm:
- bestanden downloaden en uitvoeren
- verzamelen van systeeminformatie
- Controleer Internet Explorer.