Flash Playernek álcázott féreg
A Jambu féreg elsősorban cserélhető adattárolókon, illetve hálózati meghajtókon próbál minél több számítógépet megfertőzni, melyeken rengeteg módosítást végez.
A Jambu féreg egy Flash Player alkalmazásnak igyekszik álcázni magát, miközben egy hamis üzenet révén közli a felhasználóval, hogy a számítógépén nincs feltelepítve a „Flash 8 Player” szoftver. A féreg számos fájlt hoz létre fertőzött PC-ken, majd rengeteg módosítást eszközöl a regisztrációs adatbázisban. E módosítások révén számos Windows funkciót elérhetetlenné tesz. Többek között használhatatlanná teszi a parancssori ablakot, valamint a regisztrációs adatbázis szerkesztőjét.
A féreg a saját fájljait igyekszik minél több meghajtóra felmásolni, és nem kíméli a cserélhető adattárolókat, valamint a hálózati meghajtókat sem.
Amikor a Jambu féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Megjeleníti a következő üzenetet:
“The movie cannot loaded because no Flash 8 Player found on your computer. Please installed first or go to www.macromedia.com to download latest Flash Player.”
2. Létrehozza az alábbi fájlokat:
%Windir%\system\Flash Player.exe
%System%\6666.com
%System%\Flash_8_Player.exe
%System%\w32sys.exe
3. Minden helyi, cserélhető és hálózati meghajtóra felmásolja a következő állományokat:
\Documents and Settings\All Users\Start Menu\Programs\Startup\(Empty).empty
\Documents and Settings\All Users\Start Menu\Flash Games.exe
\Program Files\Common Files\Microsoft Shared\DAO\AVRSYS.EXE
\Program Files\Common Files\Microsoft Shared\MSN.msn
4. Létrehozza a következő fájlokat:
\MESSAGE FROM HELL.HTML
\FlashGame.exe
%Windir%\Media\AUTORUN.INF
%Windir%\Media\Macromedia_Setup.exe
5. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run”Macromedia 8″ = “%System%\Flash Player.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run”W32SYS” = “%System%\w32sys.exe”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Run”MSN Setup” = “C:\Program Files\Common Files\Microsoft Shared\MSN.msn”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\JambanMu
HKEY_CLASSES_ROOT\.empty
HKEY_CLASSES_ROOT\.fold
HKEY_CLASSES_ROOT\.ie
HKEY_CLASSES_ROOT\.lagu
HKEY_CLASSES_ROOT\.msn
HKEY_CLASSES_ROOT\.pik
HKEY_CLASSES_ROOT\.texz
HKEY_CLASSES_ROOT\.vidz
6. A regisztrációs adatbázisban módosítja az alábbi bejegyzéseket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Explorer\Advanced”ShowSuperHidden” = “0”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Explorer\Advanced”HideFileExt” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Explorer\Advanced”Hidden” = “0”
HKEY_CLASSES_ROOT\comfile\DefaultIcon”(Default)” = “%SystemDrive%\System32\shell32.dll,130”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\policies\Explorer”NoFolderOptions” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\Explorer”NoFind” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\Explorer”NoRun” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\Explorer”NoFolderOptions” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\System”DisableRegistryTools” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon”Shell” = “Explorer.exe “%System%\6666.com””
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\ System”DisableCMD” = “2”.