Válassza az Oldal lehetőséget

Víruskeresőket hatástalanít egy féreg

Írta: | 2007. júl 18. | | 0 |

A Himu.A féreg meglehetősen gyorsan képes terjedni, és számos kártékony műveletet végez el a fertőzött számítógépeken. Elsősorban a biztonsági szoftverek hatástalanítása a célja.

A Himu.A féreg leggyakrabban hálózati megosztásokon valamint elektronikus leveleken keresztül terjed. A féreg amint elindul egy számítógépen, akkor megjelenít egy üzenetablakot, és rögtön ezután számos fájlt hoz létre. Majd a regisztrációs adatbázis módosításával számos kellemetlenséget okoz, ugyanis a biztonsági szoftvereket igyekszik hatástalanítani. Több gyártó termékét is képes kikapcsolni, de különös figyelmet fordít a McAfee és a Norton AntiVirus szoftverekre valamint a Windows Biztonsági központjára. Ezt követően arról is gondoskodik, hogy a Windows hosts fájljának módosításával elérhetetlenné tegye a biztonsági cégek weboldalait a fertőzött rendszerekről.

A Himu.A az Internet Explorer Kedvencek menüjét néhány újabb hivatkozással bővíti ki. Ezt követően kezdi meg a terjedését a helyi hálózaton, illetve az elektronikus leveleken keresztül.

Amikor a Himu.A féreg elindul, akkor az alábbi műveleteket hajtja végre:

1 Megjelenít egy “Compressed (zipped) Folders Error” címsorral rendelkező üzenetablakot, amely a “The Compressed (zipped) Folder is invalid or corrupted” szöveget tartalmazza.

2. Létrehozza a következő állományokat
%UserProfile%\Start Menu\Programs\Startup\SERVIC3S.exe
%ProgramFiles%\WindowsUpdate\System Security\passwordlist.exe
%ProgramFiles%\WindowsUpdate\System Security\Updates.tmp\bangladesh.exe
%ProgramFiles%\WindowsUpdate\System Security\Updates.tmp\love.exe
%ProgramFiles%\WindowsUpdate\System Security\usernames.exe
D:\SystemVoliumeInfo\services.exe
D:\SystemVoliumeInfo\Mails\asdf45396ftADMIN.exe
D:\SystemVoliumeInfo\Mails\USERNAE485369KD5L.exe
D:\SystemVoliumeInfo\Mails\STATUSreport252.exe
D:\SystemVoliumeInfo\Mails\global_report.exe
D:\SystemVoliumeInfo\Mails\BBCandCNNreport.exe

3. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzést:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Run”Microsoft Himu” = “D:\SystemVoliumeInfo\services.exe”

4. Leállítja a biztonsági szoftverekhez tartozó folyamatokat.

5. Új sorokat fűz hozzá a Windows hosts fájljához, amellyel a fertőzött számítógépekről elérhetetlenné teszi a biztonsági cégek weboldalait.

6. Módosítja a regisztrációs adatbázis következő bejegyzéseit.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\policies\Explorer”RestrictRun” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\policies\Explorer”RestrictRun1″ = “msconfig.exe”

7. A regisztrációs adatbázisban létrehozza az alábbi kulcsot:
HKEY_LOCAL_MACHINE\SOFTWARE\Razaker

8. Hatástalanítja a McAfee biztonsági szoftvereit.

9. Kikapcsolja a Windows Biztonsági központját a regisztrációs adatbázis módosításával:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center”AntiVirusDisableNotify” = “00000000”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center”AntiVirusOverride” = “00000000”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center”FirewallDisableNotify” = “00000000”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center”FirewallOverride” = “00000000”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center”UpdatesDisableNotify” = “00000000”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa”l imitblankpassworduse” = “0x00000000”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Ls a”limitblankpassworduse” = “0x00000000”

10. Kikapcsolja a Norton Anti-Virus Script Blocking funkciót.

11. Új bejegyzéseket vesz fel az Internet Explorer Kedvencek menüjébe.

12. Minden elérhető meghajtóra felmásolja az alábbi állományokat:
[meghajtó betűjele]:\New Compressed (zipped) Folder.exe
[meghajtó betűjele]:\kills.bat
[meghajtó betűjele:\format.bat

13. Másolatokat készít önmagából a következő fájlnevek felhasználásával:
Aupee Karim Pics.exe
download.exe
List of the musick.exe
LoveStory.exe
Lyrics Of Papercut.exe
MusicList.exe
readme2006.exe
window shopper.exe

14. A hálózaton megosztott mappákba bemásolja saját magát.

15. Létrehoz egy D:\SystemVoliumeInfo\\\ab.bat fájlt, amelynek révén „ping flood” támadásokat kezdeményez egy előre meghatározott weboldal ellen.

16. Különböző kiterjesztésű állományokban email címeket keres. Ezekre továbbküldi saját magát.
A fertőzött levelek tárgya lehet:

  • Reminder to be aware of TERRORISM
  • Don\\”t be another victim..!!
  • RAPID ACTION BATALION
  • HELP US FOR REMOVE THE TERRORISM

A fertőzött levelek mellékletéhez tartozó fájlok neve az alábbi listából kerül ki:

  • asdf45396ftADMIN.exe
  • USERNAE485369KD5L.exe
  • STATUSreport252.exe
  • global_report.exe
  • BBCandCNNreport.exe.
Olvasva: 1 491

Mérték:

A szerzőről

Csingacsguk

Kapcsolódó hozzászólások

Internetes keresőket is felhasznál a Bobax vírus

Internetes keresőket is felhasznál a Bobax vírus

2005-07-07

Assassin’s Creed 2 video

Assassin’s Creed 2 video

2009-10-08

Kiemelt figyelemmel kell kezelni az NVIDIA 320.18 WHQL meghajtót!

Kiemelt figyelemmel kell kezelni az NVIDIA 320.18 WHQL meghajtót!

2013-06-13

Válogatós lett Croft kisasszony

Válogatós lett Croft kisasszony

2013-03-08

banner

BuyBestGear

Hirdetés

ranvee

Ranvee háztartási gépek