Távirányítású vírus terjed
A Maniccum nevű féreg elsősorban az MSN Messenger azonnali üzenetküldő szolgáltatásain keresztül igyekszik megfertőzni a kiszemelt számítógépeket.
A Maniccum számos olyan funkcióval rendelkezik, amelyek segítséget nyújtanak a támadók számára, hogy a férget különböző parancsok révén IRC-n keresztül vezéreljék. A féreg révén hozzáférhetnek a fertőzött számítógépen tárolt fájlokhoz, HTTP szervert indíthatnak illetve szolgáltatásmegtagadási támadásokat (DoS) kezdeményezhetnek. Emellett a férget is vezérelhetik, frissíthetik illetve eltávolíthatják a rendszerekből.
A Maniccum további veszélye, hogy megbénítja a számítógépeken futó egyes biztonsági alkalmazásokat, és az antivírus szoftverek automatikus elindulását is megakadályozza.
Amikor a Maniccum elindul, akkor az alábbi műveleteket hajtja végre:
1. Bemásolja magát a Windows System könyvtárába [véletlenszerű karakterek].exe néven.
2. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion
\RunServices
kulcsaihoz hozzáadja az
“mxb2” = “[véletlenszerű karakterek].exe” értéket.
3. Kitörli a regisztrációs adatbázisból a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\\Microsoft\\Windows\\Curre ntVersion\Run
“ccApp”
HKEY_LOCAL_MACHINE\SOFTWARE\\Microsoft\\Windows\\Curre ntVersion\Run
“KAV50”
HKEY_LOCAL_MACHINE\SOFTWARE\\Microsoft\\Windows\\Curre ntVersion\Run
“McAfee Guardian”
HKEY_LOCAL_MACHINE\SOFTWARE\\Microsoft\\Windows\\Curre ntVersion\Run
“McAfee.InstantUpdate.Monitor”
HKEY_LOCAL_MACHINE\SOFTWARE\\Microsoft\\Windows\\Curre ntVersion\Run
“KAVPersonal50”
HKEY_LOCAL_MACHINE\SOFTWARE\\Microsoft\\Windows\\Curre ntVersion\Run
“avg7_emc”
HKEY_LOCAL_MACHINE\SOFTWARE\\Microsoft\\Windows\\Curre ntVersion\Run
“avg7_cc”
HKEY_LOCAL_MACHINE\SOFTWARE\\Microsoft\\Windows\\Curre ntVersion\Run
“nod32kui”
HKEY_LOCAL_MACHINE\SOFTWARE\\Microsoft\\Windows\\Curre ntVersion\Run
“BDOESRV”
4. Módosítja a regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\S haredAccess
\Parameters\FirewallPolicy\StandardProfile
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Firewall
\DomainProfile
kulcsában szereplő
“EnableFirewall” = “0” értéket.
5, Bezárja azokat az ablakokat, amelyek címsorában az alábbi szavak szerepelnek:
NORTON
VIRUS
FIREWALL
SCAN
SECURITY
NETSTAT
WINDOWS TASK MANAGER
THE ETHEREAL NETWORK ANALYZER
REGISTRY EDITOR
SYSTEM CONFIGURATION UTILITY
6. Csatlakozik egy IRC szerverhez az 5190-es TCP porton keresztül, és várja a támadók parancsait, akik az alábbi műveleteket hajthatják végre:
– lokális fájlok elérése
– könyvtárak létrehozása
– féreg frissítése
– HTTP szerver indítása
– DoS támadások kezdeményezése
– féreg eltávolítása.