Vírushíradó – Kernelbot, a fájlcserélés mestere
A Kernelbot.A féreg amellett, hogy gyors terjedésre képes meglehetősen komoly módosításokat végez a PC-ken.
A Kernelbot.A azon kártékony programok közé tartozik, amelyek a Windows október 23-án befoltozott sebezhetőségének kihasználásával igyekeznek minél több számítógépre felkerülni. Azonban ez a féreg nem éri be ennyivel, ugyanis fájlcserélő hálózatokon keresztül is igyekszik terjedni. Az sem hozza zavarba, hogy ha a kiszemelt PC-n éppen nincs fájlcserélő alkalmazás, ugyanis képes az eMule szoftver automatikus telepítésére.
A Kernelbot.A a fertőzött számítógépeken meglehetősen sok módosítást végez, az Interneten keresztül pedig rendszerinformációkat szivárogtat ki, majd különféle kártékony programokat töltöget le. Mindezek mellett egy olyan távoli szerverhez is csatlakozik, amelyről különféle parancsokat fogad. Ezek alapján a következő műveleteket tudja végrehajtani:
- fájlok letöltése és futtatása
- fájlok terjesztése fájlcserélő-szolgáltatásokon keresztül
- szolgáltatásmegtagadási (DoS) támadások kezdeményezése
- a féreg frissítése.
A Kernelbot.A a regisztrációs adatbázisban való törölgetéssel eléri, hogy a fertőzött PC-t ne lehessen csökkentett módban újraindítani.
Amikor a Kernelbot.A féreg elindul, akkor az alábbi műveleteket hajtja végre:
- A regisztrációs adatbázisban módosítja a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon”UDiskAccess” = “0”
HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon”ExecAccess” = “0”
HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon”IEProtAccess” = “0”
HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon”LeakAccess” = “0”
HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon”MonAccess” = “0”
HKEY_LOCAL_MACHINE\SOFTWARE\360Safe\safemon”SiteAccess” = “0” - Létrehozza a következő fájlokat:
%System%\compbatc.sys
%System%\compbatc.zip
%System%\compbatc.exe
%System%\vvebc1nt.sys
%System%\vvebc1nt.zip
%System%\vvebc1nt.exe
A fenti fájlokat rejtett attribútummal látja el. - A regisztrációs adatbázishoz hozzáfűzi az alábbi kulcsokat:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\compbatc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\compbatcDrv
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[nyolc számjegy] - Leállítja a következő folyamatokat (amennyiben azok léteznek):
safeboxtray.exe
360tray.exe
iparmor.exe
RSTray.exe
USBSAFE.exe
360rpt.exe - A regisztrációs adatbázisból kitörli az következő értékeket:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”360Safetray”
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”360Safebox”
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”360Antiarp”
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”runeip”
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”Iparmor”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
Az utóbbi két módosítással eléri, hogy ne lehessen csökkentett módban újraindítani a számítógépet. - Csatlakozik egy előre meghatározott távoli szerverhez, ahonnan parancsokat fogad.
- Rendszerinformációkat tölt fel egy előre meghatározott weboldalon keresztül.
- Interneten keresztül kártékony programokat tölt le.
- Egy 67.exe nevű állomány révén megpróbálja kihasználni a Windows Kiszolgáló szolgáltatásában rejlő sérülékenységet.
- Létrehozza a következő állományokat:
C:\~$[hexadecimális karaktersorozatok].rs
C:\~$[hexadecimális karaktersorozatok].js
C:\~$[hexadecimális karaktersorozatok].dl - Letölti és feltelepíti az eMule fájlcserélő alkalmazást.
- Megpróbál fájlcserélő hálózaton keresztül terjedni.
- Módosítja a Windows hosts állományát, és ezzel számos weboldalt tesz elérhetetlenné a fertőzött számítógépeken.