Válassza az Oldal lehetőséget

Messengeren terjed a Neeris féreg

Messengeren terjed a Neeris féreg

A Neeris féreg elsősorban a Microsoft azonnali üzenetküldő alkalmazásain keresztül próbál terjedni, és egy hátsó kaput nyit a fertőzött számítógépeken.

A Neeris féreg a PC-k megfertőzésekor gondoskodik arról, hogy a Windows beépített tűzfala ne szabjon gátat az internetes tevékenységének. Ezt követően megvizsgálja, hogy az adott számítógépen található-e Windows Live Messenger, MSN Messenger vagy Windows Messenger alkalmazás. Amennyiben megtalálja valamelyik szoftvert, akkor különböző üzeneteket kezd el küldözgetni, és egy fertőzött fájlt igyekszik terjeszteni.

A Neeris további veszélye, hogy egy hátsó kaput is nyit a fertőzött számítógépeken. Ezen keresztül a támadók az alábbi műveleteket végezhetik el:
– folyamatok létrehozása, listázása és leállítása
– a féreg frissítése
– fájlok letöltése és futtatása
– bejelentkezések naplózása
– rendszerinformációk összegyűjtése
– a féreg működési állapotának lekérdezése.

Amikor a Neeris féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlt:
%Windir%\system\lsass.exe

2. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzést:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run”Windows Lsass Services” = “%Windir%\system\lsass.exe”

3. A regisztrációs adatbázisban módosítja a következő kulcsokat:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\S haredAccess\Parameters\FirewallPolicy\StandardProfile\Auth orizedApplications\List”Default” = “:*:Enabled:Windows Sharing”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Shell Extensions”MSNPRC” = “[PATH TO WORM EXECUTABLE]”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control”W aitToKillServiceTimeout” = “7000”

4. Megvizsgálja, hogy van e telepített Windows Live Messenger, MSN Messenger vagy Windows Messenger alkalmazás a fertőzött számítógépen. Amennyiben talál ilyet, akkor üzeneteket kezd el küldözgetni.

5. Az üzenetek küldözgetése során egy fertőzött, IMG-0012.zip nevű fájlt próbál terjeszteni, amelyet a Windows könyvtárába ment el.

6. Nyit egy hátsó kaput, és várakozik a támadók parancsaira.

A szerzőről