Fájlokkal ellenséges a Tufik.E vírus

A cserélhető meghajtókon keresztül terjedő Tufik.E vírus minden elérhető exe kiterjesztésű fájlt megfertőz.

A Tufik.E vírus számos fájlt hoz létre a Windows különféle rendszerkönyvtáraiban. Ezek többségét véletlenszerű névvel látja el. A vírus a regisztrációs adatbázis módosítását és egy windowsos szolgáltatás létrehozását követően webes állományokat kezd el keresgélni, amelyekhez egy IFRAME kódot fűz hozzá.

A Tufik.E a fertőzött számítógépeken elérhető cserélhető meghajtók gyökér könyvtárába bemásolja a saját állományait, majd minden számára írható, .exe kiterjesztésű fájlt megfertőz. Ezt követően az Interneten keresztül egy további fájlt is letölt.

Amikor a Tufik.E vírus elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
   %System%\mscrss.exe
   %System%\mscrss.dll
   %System%\[véletlenszerű karakterek].tmp
   %Windir%\Temp\[véletlenszerű karakterek].tmp
   %Windir%\Temp\[véletlenszerű karakterek].tmp_TMP.exe
   %Temp%\[véletlenszerű karakterek].tmp
   %Temp%\[véletlenszerű karakterek].tmp_TMP.exe
2. Létrehoz egy “Windows WorkStation” nevű windowsos szolgáltatást.
3. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzéseket:
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stat
   s\{C1498DA0-135E-46EA-B01B-86042A31ED82}
   />HKEY_CURRENT_USER\TypeLib\{C1498DB2-135E-46EA-B01B-86042A31ED82}
   HKEY_CURRENT_USER\Interface\{C1498DBF-135E-46EA-B01B-86042A31ED82} HKEY_CURRENT_USER\IEFalgObj.IEFalgObj
   HKEY_CURRENT_USER\IEFalgObj.IEFalgObj.1
   HKCR\CLSID\{C1498DA0-135E-46ea-B01B-86042A31ED82
   HKEY_USERS\.default\Software\Microsoft\Windows\CurrentVersion\Ext\St
   ats\{C1498DA0-135E-46EA-B01B-86042A31ED82}
4. Az összes elérhető meghajtón megkeresi az alábbi kiterjesztésekkel rendelkező fájlokat:
   .cgi
   .php
   .jsp
   .asp
   .html
   .htm
5. A fenti állományokhoz hozzáfűz egy IFRAME kódot.
6. Minden írható meghajtó gyökér könyvtárába bemásolja az alább állományokat:
   Config.Msi\mscrss.exe
   Config.Msi\[eredeti fájlnév]
   AutoRun.inf
7. Minden .exe kiterjesztésű fájlt megfertőz.
8. Interneten keresztül letölt egy állományt.