Matekozik a Savix féreg

A Savix nemcsak a számítógépek védelmi képességeit teszi próbára, hanem a felhasználók matematikai tudását is.

A Savix féreg a leggyakrabban használt meghajtók gyökér könyvtárába másolja be a saját állományait. Ezek közül az egyiket egészen egyszerűen csak “x”-nek nevezi el. Arról is gondoskodik, hogy cserélhető vagy hálózati meghajtók esetében automatikusan képes legyen betöltődni.

A Savix a regisztrációs adatbázis módosításával többek között letiltja a rejtett fájlok megjelenítését, elérhetetlenné teszi a Vezérlőpultot, valamint módosítja a parancssori eszközhöz (cmd.exe-hez) tartozó beállításokat.

A féreg legfőbb ismertetőjele, hogy időközönként egy felbukkanó ablakot jelenít meg, amelyben egy matematikai kérdést tesz fel a fertőzött számítógép felhasználójának. A kártékony programot a válasz már nem igazán érdekli, hiszen húsz másodperc elteltével mindenképpen újraindítja a Windowst.

Amikor a Savix féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat.
   c:\.x
   d:\.x
   e:\.x
   f:\.x
   g:\.x
   h:\.x
   i:\.x
   c:\autorun.inf
   d:\autorun.inf
   e:\autorun.inf
   f:\autorun.inf
   g:\autorun.inf
   h:\autorun.inf
   i:\autorun.inf
2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:
   HKEY_ALL_USERS\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
   “userinit” = “\WINDOWS\system32/userinit.exe
   C:\WINDOWS\system32\cmd.exe /C C:\.X
   C:\WINDOWS\system32\cmd.exe /C D:\.X
   C:\WINDOWS\system32\cmd.exe /C E:\.X
   C:\WINDOWS\system32\cmd.exe /C F:\.X
   C:\WINDOWS\system32\cmd.exe /C G:\.X
   C:\WINDOWS\system32\cmd.exe /C H:\.X
   C:\WINDOWS\system32\cmd.exe /C I:\.X”
3. A regisztrációs adatbázisban módosítja a következő értékeket:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Winlogon”Userinit” = “\WINDOWS\system32/userinit.exe
   C:\WINDOWS\system32\cmd.exe /C C:\.X
   C:\WINDOWS\system32\cmd.exe /C D:\.X
   C:\WINDOWS\system32\cmd.exe /C E:\.X
   C:\WINDOWS\system32\cmd.exe /C F:\.X
   C:\WINDOWS\system32\cmd.exe /C G:\.X
   C:\WINDOWS\system32\cmd.exe /C H:\.X
   C:\WINDOWS\system32\cmd.exe /C I:\.X”
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
   Explorer\Advanced\Folder\Hidden\SHOWALL”CheckedValue” = “0”
4. A regisztrációs adatbázisban létrehozza az alábbi értékeket:
   HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\
   Windows NT\SystemRestore”DisableSR” = “1”
   HKEY_ALL _USERS\Software\Microsoft\Windows\CurrentVersion\Explorer\
   Advanced\Folder\Hidden\ShowAll”CheckedValue” = “0”
   HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentVersion\Policies\
   Explorer”NoControlPanel” = “1”
5. Megjelenít egy ablakot, amely egy matematikai kérdést tesz fel, majd 20 másodperc elteltével újraindítja a számítógépet.