ไวรัสควบคุมระยะไกลกำลังแพร่กระจาย

เวิร์มนี้เรียกว่า Maniccum พยายามแพร่เชื้อไปยังคอมพิวเตอร์บางเครื่องผ่านบริการส่งข้อความโต้ตอบแบบทันทีของ MSN Messenger

Maniccum มีคุณสมบัติหลายอย่างที่ช่วยให้ผู้โจมตีควบคุมเวิร์มผ่านคำสั่งต่างๆ ผ่าน IRC เวิร์มสามารถเข้าถึงไฟล์ที่จัดเก็บไว้ในคอมพิวเตอร์ที่ติดไวรัส เปิดเซิร์ฟเวอร์ HTTP หรือเริ่มการโจมตีแบบปฏิเสธบริการ (DoS) นอกจากนี้ เวิร์มยังสามารถควบคุม ปรับปรุง หรือลบออกจากระบบได้

ภัยคุกคามเพิ่มเติมจาก Maniccum คือมันทำให้แอปพลิเคชั่นความปลอดภัยบางตัวทำงานบนคอมพิวเตอร์ของคุณเป็นอัมพาต และป้องกันไม่ให้ซอฟต์แวร์ป้องกันไวรัสเริ่มทำงานโดยอัตโนมัติ

เมื่อ Maniccum เริ่มทำงาน มันจะดำเนินการดังต่อไปนี้:

1. คัดลอกตัวเองไปยังไดเร็กทอรี Windows System เป็น [อักขระสุ่ม] .exe

2. ฐานข้อมูลการลงทะเบียน
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Run
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion
\ RunServices
เพิ่มในคีย์ของคุณ
“Mxb2” = “[อักขระสุ่ม] .exe”

3. รายการต่อไปนี้จะถูกลบออกจากฐานข้อมูลการลงทะเบียน:
HKEY_LOCAL_MACHINE \ SOFTWARE \\ Microsoft \\ Windows \\ Curre ntVersion \ Run
CcApp
HKEY_LOCAL_MACHINE \ SOFTWARE \\ Microsoft \\ Windows \\ Curre ntVersion \ Run
"KAV50"
HKEY_LOCAL_MACHINE \ SOFTWARE \\ Microsoft \\ Windows \\ Curre ntVersion \ Run
McAfee Guardian
HKEY_LOCAL_MACHINE \ SOFTWARE \\ Microsoft \\ Windows \\ Curre ntVersion \ Run
McAfee.InstantUpdate.Monitor
HKEY_LOCAL_MACHINE \ SOFTWARE \\ Microsoft \\ Windows \\ Curre ntVersion \ Run
KAVPersonal50
HKEY_LOCAL_MACHINE \ SOFTWARE \\ Microsoft \\ Windows \\ Curre ntVersion \ Run
"Avg7_emc"
HKEY_LOCAL_MACHINE \ SOFTWARE \\ Microsoft \\ Windows \\ Curre ntVersion \ Run
"Avg7_cc"
HKEY_LOCAL_MACHINE \ SOFTWARE \\ Microsoft \\ Windows \\ Curre ntVersion \ Run
"น็อด32คุย"
HKEY_LOCAL_MACHINE \ SOFTWARE \\ Microsoft \\ Windows \\ Curre ntVersion \ Run
"บีดีเอสอาร์วี"

4. แก้ไขฐานข้อมูลการลงทะเบียน
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ S sharedAccess
\ Parameters \ FirewallPolicy \ StandardProfile
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows Firewall
\ โปรไฟล์โดเมน
รวมอยู่ในคีย์
“EnableFirewall” = “0”

5, ปิดหน้าต่างที่มีคำต่อไปนี้ในแถบชื่อเรื่อง:
NORTON
ไวรัส
ไฟร์วอลล์
SCAN
การรักษาความปลอดภัย
NETSTAT
ตัวจัดการงานของ Windows
ตัววิเคราะห์เครือข่ายที่ไม่มีตัวตน
บรรณาธิการทะเบียน
ยูทิลิตีการกำหนดค่าระบบ

6. เชื่อมต่อกับเซิร์ฟเวอร์ IRC ผ่านพอร์ต TCP 5190 และรอคำสั่งของผู้โจมตีเพื่อดำเนินการดังต่อไปนี้:
- เข้าถึงไฟล์ในเครื่อง
- การสร้างไดเร็กทอรี
- อัพเดทเวิร์ม
- เริ่มเซิร์ฟเวอร์ HTTP
- เริ่มการโจมตี DoS
- การกำจัดหนอน