Válassza az Oldal lehetőséget

Fájlnevekkel bűvészkedik az Uisgon féreg

Fájlnevekkel bűvészkedik az Uisgon féreg

Az Uisgon.A féreg hálózati megosztásokon keresztül terjed, és rengeteg állományt másol fel a fertőzött számítógépekről elérhető helyi, illetve hálózati meghajtókra.

Az Uisgon.A legfőbb jellemzője, hogy rengeteg új fájlt hoz létre a kiszemelt számítógépeken, amelyek között kártékony és ártalmatlan állományok is megtalálhatók. Ezek a fájlok nem minden eseten azonosíthatók könnyen, ugyanis a kártevő arról is gondoskodik, hogy a fájlok nevébe véletlenszerűen generált karaktereket is elhelyezzen. Amennyiben felmásolta a rendszerre a szükséges állományokat, akkor módosítja a regisztrációs adatbázist annak érdekében, hogy a Windows minden indulásakor automatikusan betöltődjön.

Az Uisgon.A féreg a csatlakoztatott hálózati meghajtókon, illetve megosztásokon keresztül próbál további számítógépeket megfertőzni.

Amikor az Uisgon.A féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%Windir%\[féreg neve].[kiterjesztés]
%CurrentFolder%\[kínai karakterek]Beta3.exe
%Windir%\[kínai karakterek]Beta3.exe
[meghajtó betűjele]:\[féreg fájlneve].bat
%CurrentFolder%/sleep.vbe
c:\ubye.txt
%CurrentFolder%/inf.tem
%Windir%\[féreg fájlneve].vbe
%CurrentFolder%]\uishere-[véletlenszerű szám].txt

2. Minden csatlakoztatott hálózati meghajtóra felmásolja az alábbi fájlokat:
[meghajtó betűjele]:\[három véletlenszerű karakter].[kiterjesztés]
[meghajtó betűjele]:\[féreg fájlneve].vbe

3. Létrehozza a következő fájlokat:
c:\8bye.txt
%CurrentFolder%\s.vbe
%Windir%\uda.a
%Windir%\bakfiles\[kínai karakterek].bat
%Windir%\bakfiles\uda.a
C:\Documents and Settings\All Users\[kínai karakterek]\[féreg fájlneve].vbe
%Windir%\[kínai karakterek].txt

4. Letörli az alábbi állományokat (amennyiben azok léteznek)
%Windir%\Anti-[kínai karakterek].bat
%Windir%\ReadMe.txt
%Windir%\uda-[kínai karakterek].bat
%Windir%\uda.exe
%Windir%\[kínai karakterek].bat
%Windir%\zap.exe
%Windir%\[kínai karakterek].bat

5. Minden hálózati meghajtóra felmásol egy Autorun.inf nevű állományt.

6. A regisztrációs adatbázisban létrehozza a következő bejegyzést:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run”vbe” = “C:\WINDOWS\[WORM FILENAME].vbe”

7. Megpróbál hálózaton megosztott könyvtárakhoz kapcsolódni, majd azokon létrehoz egy add.bat nevű állományt.

A szerzőről