Weboldalakkal vezérelt trójai

A Remadworm féreg legfőbb feladata, hogy a fertőzött számítógépekről különböző bizalmas információkat juttasson el távoli szerverekre.

A Remadworm féreg elsősorban cserélhető adattároló eszközökön keresztül terjed. A féreg a regisztrációs adatbázis módosításával gondoskodik arról, hogy a Windows minden újraindításakor automatikusan betöltődjön. Ezt követően előre meghatározott weboldalakat kezd el letölteni az Internet Explorer segítségével, majd az azok címsorában szereplő információk alapján nyit egy hátsó kaput. Ezen keresztül megpróbál minél több bizalmas adatot eljuttatni távoli szerverekre.

Amikor a Remadworm féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
C:\WINDOWS\System32\driver.exe
C:\WINDOWS\wuaucll.exe
D:\DRIVER.EXE
D:\autorun.inf
E:\DRIVER.EXE
E:\autorun.inf
F:\DRIVER.EXE
F:\autorun.inf

2. Módosítja a regisztrációs adatbázis következő kulcsait:
HKEY_CLASSES_ROOT\exefile\shell\open\command”(Default )” = “wuaucll.exe “%1″ %*”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”Shell” = “Explorer.exe wuaucll.exe”

3. Létrehoz egy “rejtett” ablakot.

4. Amennyiben a regisztrációs adatbázis kínai nyelvű verzióját észleli, akkor bezárja azt.

5. Leállítja a következő szolgáltatásokat (amennyiben azok futnak):
rsravmon
alg

6. Rendszeres időközönként csatlakozik egy előre meghatározott weboldalhoz.

7. Nyit egy hátsó kaput, amelyen keresztül bizalmas információkat küld egy távoli szerverre.