Komoly károkat okoz a Miprinc vírus
A rendkívül összetett Miprinc féreg komoly károkat képes okozni a fertőzött rendszereken, ugyanis azokat akár teljes mértékben használhatatlanná teheti.
A Miprinc elsősorban elektronikus leveleken keresztül terjed. Emellett azonban képes cserélhető, illetve hálózati meghajtók révén is a számítógépek megfertőzésére. A féreg rengeteg fájlt hoz létre, majd számos bejegyzést fűz hozzá, illetve módosít a regisztrációs adatbázisban. E módosítások eredményeként többek között elérhetetlenné teszi a Windows rendszervisszaállító funkcióját.
A Miprinc megkeresi az összes elérhető kép, hang valamint videó állományt, és azok attribútumát megváltoztatja. Ezt követően megfertőzi az összes exe kiterjesztésű állományt. Ha még ezek után is működőképes marad a rendszer, akkor leállítja a biztonsági szoftverekhez tartozó folyamatokat, és egyes esetekben letiltja a billentyűzetet és az egeret.
Amikor a Miprinc féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
Autorun.inf
Desktop.ini
Mr_CoolFace.scr
%UserProfile%\Application Data\Mr_CF\Mr_CF.exe
%UserProfile%\Local Settings\Application Data\Mr_CF\Mr_CF.exe
%SystemRoot%\EXPLORER.EXE
%System%\Mr_CoolFace.scr
%System%\[RANDOM].exe
%System%\msvbvm60.dll
%Windir%\Negeri Serumpun Sebalai.pif.bat.com.scr.exe
%UserProfile%\Start Menu\Programs\Startup\winlogon.exe
%UserProfile%\Application Data\Mutant.exe
%UserProfile%\Application Data\SMA Negeri 1 Pangkalpinang.exe
%UserProfile%\Application Data\Sahang.exe
%UserProfile%\Application Data\Timah.exe
%UserProfile%\Application Data\explorer.exe
%UserProfile%\Desktop\Message For My Princess.scr
%UserProfile%\Local Settings\Application Data\Polymorph1.exe
%UserProfile%\Local Settings\Application Data\Polymorph2.exe
%UserProfile%\Local Settings\DNALSI_AKGNAB.exe
%UserProfile%\Local Settings\DNALSI_AKGNAB.exe.mutant
%UserProfile%\Local Settings\Mr_CF_Mutation.Excalibur
%UserProfile%\Local Settings\[RANDOM].exe
2. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Run
kulcsaihoz hozzáadja a
“[véletlenszerű karakterek]” = “[véletlenszerű karakterek].EXE” értéket.
3. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
kulcsához hozzáadja a
“Shell” = “explorer.exe “%SystemRoot%\explorer.exe”
“Userinit:” = “C:\WINDOWS\System32\userinit.exe, %SystemRoot%\explorer.exe” értékeket.
4. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
kulcsához hozzáadja a
“DisableConfig” = “1”
“DisableSR” = “1” értékeket.
5. Módosítja a regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Explorer\Advanced
kulcsában szereplő
“Hidden” = “2”
“HideFileExt” = “1” értékeket.
6. Módosítja a regisztrációs adatbázis
HKEY_CLASSES_ROOT\exefile
HKEY_CLASSES_ROOT\scrfile
kulcsaiban szereplő
“(Default)” = “JPEG Image” értéket.
7. Minden kép, hang, illetve videó állomány attribútumát “rejtettre” valamint “rendszerre” változtatja.
8. Letiltja a billentyűzetet valamint az egeret, amennyiben az aktív ablak címsorában az alábbi szövegek valamelyike szerepel.
RUN
NOTEPAD
UNTITLED
9. Az ablakok címsorában szereplő szövegeket az alábbiak egyikére változtatja:
Message For My Princess
Mr_CoolFace Has Come !
10. Megpróbál terjedni cserélhető, illetve hálózati meghajtókon keresztül.
11. Megfertőzi az összes exe kiterjesztésű állományt.
12. Emailekben továbbküldi saját magát.
13. Leállítja a biztonsági szoftverekhez tartozó folyamatokat.