Böngésző mögé rejtőzik a Browaf féreg

A Browaf féreg elsősorban azonnali üzenetküldő szolgáltatásokon keresztül terjed, és egy webböngésző mögé próbál meg elrejtőzni.

A Browaf féreg eddig leginkább a Yahoo Instant Messenger és a MIRC azonnali üzenetküldő szolgáltatásokon bukkant fel. Olyan üzenetek révén terjed, amelyek különböző kártékony weboldalakra mutató hivatkozásokat is tartalmaznak. Ezekről a weboldalakról töltődik le a féreghez tartozó fájl.

A Browaf meglehetősen kellemetlen műveleteket hajt végre. Számos bejegyzést módosít a regisztrációs adatbázisban, és megváltoztatja az Internet Explorer alapértelmezett beállításait. A féreg egy “Internet Browser” nevű ikont is elhelyez a Start menüben.

A Browaf féreg további ismert neve: W32.Browsesafe

Amikor a Browaf féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%UserProfile%\Start Menu\Internet Browser.lnk
%UserProfile%\Start Menu\Programs\Startup\YMSND.lnk
%Temp%\Startup.exe
C:\YSND\Ysnd.exe
%Temp%\Browser.exe
%Temp%\FtpBrowser.exe
%Temp%\Sys.dll
%Temp%\icon.ico

2. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentV ersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentV ersion\Run
kulcsaihoz hozzáadja az
“IE” = “C:\YSND\Ysnd.exe” értéket.

3. Létrehozza a következő kulcsot a regisztrációs adatbázisban:
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\ThePowerGoat

4. Módosítja a regisztrációs adatbázis
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main
kulcsában szereplő
“Local Page” = [http://]lamanweb.com/install/inde[…]”
“Start Page” = “[http://]lamanweb.com/install/inde[…]” értékeket.

5. Módosítja a regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\ Main
kulcsában szereplő
“Default_Page_URL” = “[http://]lamanweb.com/install/inde[…”
“HpDed” = “[http://]lamanweb.com/install/inde[…]”
“Local Page” = “[http://]lamanweb.com/install/inde…]”
“Start Page” = “[http://]lamanweb.com/install/inde[…]” értékeket.

6. Megpróbál Yahoo Instant Messengeren illetve MIRC-en keresztül terjedni.

7. Csatlakozik egy távoli szerverhez, és letölt egy fájlt.

8. Hozzáad egy ikont a Start menühöz “Internet Browser” névvel.

9. Megjelenít egy üzenetet “Download OK” címsorral és “Complete Downloading….” üzenettel

10. Megjelenít egy üzenetablakot “Please wait….” üzenettel.