Jesse: a Windows gyilkos féreg
Az MSN Messengeren keresztül tejredő Jesse féreg nagyon komoly károkat okoz a fertőzött rendszereken, és működésképtelenné teszi a Windowst.
A Jesse féreg elsősorban az MSN Messengeren keresztül próbál meg minél több számítógépet megfertőzni. A féreg a „C” illetve az „A” meghajtó gyökér könyvtáraiban található fájlokból készít egy másolatot, majd az eredeti állományokat letörli. Ezt követően számos módosítást végez a regisztrációs adatbázisban, és meggátolja a Feladatkezelőhöz, a Vezérlőpulthoz, a regisztrációs adatbázis szerkesztőjéhez és az egyéb rendszerfunkciókhoz tartozó ablakok megnyitását.
A Jesse a kártékony műveleteinek elvégzése után újraindítja a számítógépet, azonban azon a Windows a törölt fájlok valamint az egyéb módosítások miatt már nem fog tudni ismét betöltődni.
Amikor a Jesse féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlt
%System%\drivers\etc\jesse.exe.
2. Megvizsgálja az A és a C meghajtó gyökér könyvtáraiban található fájlokat. Az ott található állományok mindegyikéből készít egy másolatot exe kiterjesztéssel, majd az eredeti fájlokat letörli.
3. Létrehozz a következő állományokat:
A:\Autor.txt
C:\Autor.txt
%System%\Antlist.bat
%System%\win_nt.bat
%System%\systemwork.bat
4. Módosítja a regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\System
kulcsában szereplő
“DisableTaskMgr” = “1” értéket.
Ezzel elérhetetlenné teszi a Windows Feladatkezelőjét.
5. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Run
kulcsához hozzáadja a
“a” = “%System%\drivers\etc\jesse.exe” értéket.
6. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\day\\\umber
kulcsához hozzáadja a
“nday” = “[…]” értéket.
7. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\ok\jessy
kulcsához hozzáadja a
“virus” = “infectado” értéket.
8. Leállítja a biztonsági szoftverekhez tartozó folyamatokat.
9. Megpróbálja bezárni a Feladatkezelőhöz, a Vezérlőpulthoz, a regisztrációs adatbázis szerkesztőjéhez és az egyéb rendszerfunkciókhoz tartozó ablakokat
10. Megjelenít egy üzenetablakot “PROMOCION TELCEL” vagy “Protection” címsorral.
11. Elérhetetlenné teszi a MSN Instant Messenger ablakát.
12. Kitörli a regisztrációs adatbázis következő kulcsait:
HKEY_LOCAL_MACHINE\software\microsoft
HKEY_LOCAL_MACHINE\hardware
HKEY_CURRENT_USER\software\microsoft
HKEY_CURRENT_USER\hardware
13. Újraindítja a számítógépet, viszont a Windows már többé nem tud újra betöltődni.