A cserélhető meghajtókon keresztül terjedő Tufik.E vírus minden elérhető exe kiterjesztésű fájlt megfertőz.

A Tufik.E vírus számos fájlt hoz létre a Windows különféle rendszerkönyvtáraiban. Ezek többségét véletlenszerű névvel látja el. A vírus a regisztrációs adatbázis módosítását és egy windowsos szolgáltatás létrehozását követően webes állományokat kezd el keresgélni, amelyekhez egy IFRAME kódot fűz hozzá.

A Tufik.E a fertőzött számítógépeken elérhető cserélhető meghajtók gyökér könyvtárába bemásolja a saját állományait, majd minden számára írható, .exe kiterjesztésű fájlt megfertőz. Ezt követően az Interneten keresztül egy további fájlt is letölt.

Fájlokkal ellenséges a Tufik.E vírus

Amikor a Tufik.E vírus elindul, akkor az alábbi műveleteket hajtja végre:

  1. Létrehozza a következő fájlokat:
    %System%\mscrss.exe
    %System%\mscrss.dll
    %System%\[véletlenszerű karakterek].tmp
    %Windir%\Temp\[véletlenszerű karakterek].tmp
    %Windir%\Temp\[véletlenszerű karakterek].tmp_TMP.exe
    %Temp%\[véletlenszerű karakterek].tmp
    %Temp%\[véletlenszerű karakterek].tmp_TMP.exe
  2. Létrehoz egy “Windows WorkStation” nevű windowsos szolgáltatást.
  3. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzéseket:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stat
    s\{C1498DA0-135E-46EA-B01B-86042A31ED82}
    />HKEY_CURRENT_USER\TypeLib\{C1498DB2-135E-46EA-B01B-86042A31ED82}
    HKEY_CURRENT_USER\Interface\{C1498DBF-135E-46EA-B01B-86042A31ED82} HKEY_CURRENT_USER\IEFalgObj.IEFalgObj
    HKEY_CURRENT_USER\IEFalgObj.IEFalgObj.1
    HKCR\CLSID\{C1498DA0-135E-46ea-B01B-86042A31ED82
    HKEY_USERS\.default\Software\Microsoft\Windows\CurrentVersion\Ext\St
    ats\{C1498DA0-135E-46EA-B01B-86042A31ED82}
  4. Az összes elérhető meghajtón megkeresi az alábbi kiterjesztésekkel rendelkező fájlokat:
    .cgi
    .php
    .jsp
    .asp
    .html
    .htm
  5. A fenti állományokhoz hozzáfűz egy IFRAME kódot.
  6. Minden írható meghajtó gyökér könyvtárába bemásolja az alább állományokat:
    Config.Msi\mscrss.exe
    Config.Msi\[eredeti fájlnév]
    AutoRun.inf
  7. Minden .exe kiterjesztésű fájlt megfertőz.
  8. Interneten keresztül letölt egy állományt.