Danber: a fájlgyáros féreg
A Danber féreg hálózaton megosztott meghajtókon keresztül próbál minél több számítógépet megfertőzni, és azokon rengeteg új fájlt létrehozni.
A Danber féreg eltávolítása a fertőzött számítógépekről nem egy egyszerű feladat, ugyanis a PC-ken rengeteg új fájlt hoz létre. Szinte minden olyan meghajtó gyökér, illetve alkönyvtárába bemásolja magát, amelyek számára írhatók. Így nem kíméli a hálózati megosztásokat sem.
A Danber féreg a regisztrációs adatbázis módosításával gondoskodik arról, hogy a Windows minden újraindításakor elinduljon, majd a 445-ös TCP porton keresztül próbál meg további számítógépeket megfertőzni.
Amikor a Danber féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlt:
%System%\DanbtR270414.exe
2. Az alábbi meghajtók gyökér könyvtárába megpróbál bemásolni egy DanBtR270414.exe állományt:
C:
D:
E:
F:
G:
H:
I:
J:
K:
M:
3. Az alkönyvtárakba létrehoz egy-egy .exe kiterjesztésű állományt. A fájlnév megegyezik az adott könyvtár nevével.
4. A regisztrációs adatbázisban létrehozza a következő bejegyzést:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run”DanBtR270414″ = “%System%\DanBtR270414.exe”
5. A 445-ös TCP porton keresztül megpróbál terjedni.