Vírushíradó – Xema, az univerzális vírus

A Xema.A vírus számos kártékony tevékenység révén tudja megkeseríteni a fertőzött számítógépek felhasználóinak mindennapjait.

A Xema.A vírus az összetett kártékony programok közé sorolható. Ennek elsősorban az az oka, hogy számos káros művelet végrehajtására alkalmas. A kártevő a kiszemelt PC-kre cserélhető vagy hálózati meghajtókon keresztül érkezik meg. Ezt követően azokon rengeteg fájlt hoz létre, és rendszerinformációkat kezd el összegyűjteni, amelyeket az Internet Explorer webböngésző révén juttat el a támadókhoz. A vírus a fertőzött PC IP-címére, operációs rendszerének verziójára valamint a fertőzés időpontjára vonatkozó adatokat szolgáltat ki. Ezt követően egy hátsó kaput nyit, és várakozik a támadók parancsaira, akik többek között az alábbi műveleteket hajthatják végre:

• csatlakozás távoli számítógépekhez
• fájlok letöltése vagy létrehozása
• állományok elrejtése
• hálózati műveletek elvégzése.

A vírus a Windows indítópultjába másolja be az egyik állományát és ezáltal igyekszik arról gondoskodni, hogy az operációs rendszer minden egyes betöltődésekor automatikusan el tudjon indulni.

Amikor a Xema.A vírus elindul, akkor az alábbi műveleteket hajtja végre:

1. A Windows System32 könyvtárába létrehozza a következő fájlokat:
   c_10810.nls
   c_19460.nls
   c_20462.nls
   inter32.dll
   shell64.dll
   shlmon.exe
   w1234.exe
   serlibk.exe
   windfire.exe
   windfire2.exe
   msregsv.exe
   config\systemevent.log
   config\software.chk
   config\Temporary Internet Files\.iau
2. A Windows Indítópultjához hozzáad egy officexp.exe nevű állományt.
3. A regisztrációs adatbázisban módosítja a következő bejegyzést:
   HKCR\CLSID\{AEB6717E-7E19-11d0-97EE-00C04FD91972}\InProcServer32\
   “shell32.dll” = “%System%\shell64.dll”
4. Minden, számára írható meghajtón létrehozza a következő állományokat:
   Recycled\deskinf.pif
   Recycled\deskinf.ini
   Recycled\~INFO2
   Recycled\~WR00001.doc
   Recycled\~WR00002.doc
   Recycled\windfire2.exe
   autorun.inf
5. Rendszerinformációkat gyűjt össze, amelyeket egy véletlenszerű fájlnévvel valamint .iau kiterjesztéssel rendelkező állományba ment el a %System%\config\Temporary Internet Files könyvtárba.
6. Internet Explorer segítségével továbbítja az összegyűjtött adatokat egy előre meghatározott szerverre.
7. Egy hátsó kaput nyit a fertőzött számítógépeken, majd várakozik a támadók parancsaira.
8. A regisztrációs adatbázisban módosítja a következő bejegyzést:
   HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   Advance\ShowSuperHidden=0
9. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a kiszemelt rendszeren.