Biztonsági szoftvereket hatástalanító féreg

A Stration.C egy elektronikus levelekbe terjedő féreg, amely kártékony fájlokat tölt le az Internetről, és hatástalanítja a biztonsági szoftvereket.

A Stration.C féreg a terjedéséhez szükséges email címeket a Windows címjegyzékéből illetve a fertőzött számítógépeken található különböző kiterjesztésű fájlokból gyűjti össze. A féreg számos fájlt hoz létre, és módosítja a regisztrációs adatbázist. Ezt követően megpróbálja hatástalanítani a biztonsági szoftvereket – főként a tűzfalakat – annak érdekében, hogy az Internetről szabadon tudjon fájlokat letölteni.

Amikor a Stration.C elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%Windir%\\\smb.exe
%Windir%\\\smb.dll
%Windir%\\\smb.wax
%Windir%\\\smb.gfx
%System%\acac.dll
%System%\corpdpvv.exe
%System%\d3diusp1.dll
%System%\fldrtsd3.dll
%System%\sisbmsxb.dll
[véletlenszerű számok].tmp

2. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run
kulcsához hozzáadja a
“rsmb”=”%Windows%\\\smb.exe s” értéket.

3. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzést:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\acac

4. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
kulcsához hozzáadja az
“AppInit_DLLs”=” sisbmsxb.dll fldrtsd3.dll” értéket.

5. Leállítja a biztonsági szoftverekhez tartozó szolgáltatásokat.

6. Letölt, és elindít egy fájlt.

7. A Windows címjegyzékéből és különböző kiterjesztésű fájlokból összegyűjti az email címeket. Ezekre továbbküldi saját magát.

A fertőzött levelek tárgya lehet:
hello
picture
Server Report
Status
test
Good Day
Error
Mail Delivery System
Mail Transaction Failed

A fertőzött levelek mellékletéhez tartozó .log, .elm, .msg, .txt vagy .dat kiterjesztésű állományok neve lehet:
body
data
do
docs
document
file
message
readme
test
text.