A cserélhető adattárolókon keresztül terjedő Auraax féreg hamis biztonsági szoftverekkel árasztja el a fertőzött számítógépeket.

Az Auraax féreg a legtöbb esetben különböző cserélhető meghajtókon (például pendrive-okon) keresztül kerül rá egy-egy számítógépre. Amint ez megtörténik és a féreghez tartozó fájlt a felhasználó megnyitja, akkor a kártékony program néhány állományt hoz létre a rendszeren, majd módosítja a regisztrációs adatbázist. Ezt követően windowsos folyamatokat próbál megfertőzni. Amennyiben ez sikerül számára, akkor a továbbiakban azok mögül, rejtett módon végzi a kártékony tevékenységét.

Az Auraax távoli szerverekhez csatlakozik, amelyekről különféle parancsokat tartalmazó fájlokat tölt le. Ezek mellett olyan állományokat is beszerez, amelyek biztonsági szoftvereknek álcázott kártékony programokat tartalmaznak.

Hamis szoftvereket terjesztő féreg

Amikor az Auraax féreg elindul, akkor az alábbi műveleteket hajtja végre:

  1. Létrehozza a következő fájlokat:
    %Temp%\LOAD1.EXE
    %Program Files%\WUAUCLT.EXE
  2. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzést:
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
    Image File Execution Options\explorer.exe\Debugger =
    “%Program Files%\Microsoft Common\wuauclt.exe”
    vagy
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run\svchost =
    “%Program Files%\Microsoft Common\wuauclt.exe”
  3. Megfertőzi az SVCHOST.EXE és az EXPLORER.EXE folyamatokat. Ha ez nem sikerül számára, akkor módosítja a regisztrációs adatbázis következő kulcsában szereplő értékeket:
    HKCR\http\shell\open\command
  4. A Windows System könyvtárába bemásol egy .SYS kiterjesztésű állományt, amely egy rootkit komponenst tartalmaz.
  5. Minden cserélhető meghajtó gyökér könyvtárába bemásol egy WUAUCLT.EXE vagy egy SYSTEM.EXE nevű fájlt, valamint egy AUTORUN.INF nevű állományt.
  6. A regisztrációs adatbázisban létrehozza a következő értéket:
    HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
    StandardProfile\AuthorizedApplications\List\%Program Files%\
    Microsoft Common\wuauclt.exe = “%Program Files%\
    Microsoft Common\wuauclt.exe:*:Enabled:EMOTIONS_EXECUTABLE”
  7. Interneten keresztül kártékony fájlokat tölt le.