A Vispat.A féreg meglehetősen gyorsan terjed, és rengeteg módosítást végez a fertőzött számítógépeken, ami jelentősen megnehezíti a kártevő eltávolítását.
A Vispat.A féreg elektronikus levelek útján terjed. A féreg az Outlook Express szoftver címjegyzékében szerepelő email címekre továbbítja a saját állományát. A sikeres működése érdekében még egy új postafiókot is létrehoz, amelyről küldözgeti a leveleket.
A Vispat.A a regisztrációs adatbázisban rengeteg új bejegyzést hoz létre, és még több helyen módosítja a meglévő kulcsokat, illetve értékeket. Ezzel megváltoztatja a Windows néhány beállítását, és megpróbálja saját magát a lehető legjobban elrejteni. A kártevő időközönként elindít egy Internet Explorert, amelybe egy weboldalt jelenít meg, majd egy fájlt tölt le a Világhálózatról.
Amikor a Vispat.A féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%System%\dllconfig\cache\dllcache.exe
2. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzést:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Run”dllcache.exe” = “%System%\dllconfig\cache\dllcache.exe”
3. A regisztrációs adatbázisban módosítja az alábbi bejegyzést:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main”Start Page” = “[http://]www.internet-explorer.name/”
4. A regisztrációs adatbázishoz hozzáadja a következő bejegyzéseket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Internet Settings\ZoneMap\Domains\coppiastrana.com
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Internet Settings\ZoneMap\Domains\coppiastrana.com\www”*” = “0x00000002”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Internet Settings\ZoneMap\Domains\google-hard.com
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Internet Settings\ZoneMap\Domains\google-hard.com\www”*” = “0x00000002”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Internet Settings\ZoneMap\Domains\vispateresa.biz
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Internet Settings\ZoneMap\Domains\vispateresa.biz\www”*” = “0x00000002”
5. A regisztrációs adatbázisban módosítja a következő bejegyzéseket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Internet Settings\Zones\2″MinLevel” = “0x00000000”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Internet Settings\Zones\2″RecommendedLevel” = “0x00000000”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Internet Settings\Zones\2″1001″ = “0x00000000”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Internet Settings\Zones\2″1004″ = “0x00000000”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Internet Settings\Zones\2″1200″ = “0x00000000”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Internet Settings\Zones\2″1201″ = “0x00000000”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Internet Settings\Zones\2″1400″ = “0x00000000”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Internet Settings\Zones\2″1402″ = “0x00000000”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Internet Settings\Zones\2″1405″ = “0x00000000”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Internet Settings\Zones\2″1406″ = “0x00000000”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Internet Settings\Zones\2″1407″ = “0x00000000”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Internet Settings\Zones\2″1609″ = “0x00000000”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Internet Settings\Zones\2″1800″ = “0x00000000”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Internet Settings\Zones\2″1803″ = “0x00000000”
6. A regisztrációs adatbázisban elvégzi az alábbi módosításokat:
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVe rsion\Explorer\Advanced”Hidden” = “0”
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVe rsion\Explorer\Advanced”ShowSuperHidden” = “0”
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVe rsion\Explorer\Advanced”SuperHidden” = “0”
7. Létrehoz egy könyvtárat, és megnyitja az Internet Explorert. Ezt követően betölt egy weboldalt.
8. A regisztrációs adatbázisban módosítja a következő bejegyzéseket
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Explorer\MyComputer\NameSpace\{16C7013F-912E-42ac-A A8E-A10A180DFF51}
HKEY_CLASSES_ROOT\CLSID\{16C7013F-912E-42ac-AA8E-A10A1 80DFF51}”Default” = “Foto Brasile”
HKEY_CLASSES_ROOT\CLSID\{16C7013F-912E-42ac-AA8E-A10A1 80DFF51}\DefaultIcon”Default” = “%SystemRoot%\System32\shell32.dll,127″HKEY_CLASSES_ROOT\C LSID\{16C7013F-912E-42ac-AA8E-A10A180DFF51}\Shell\Open My Menu”Command” = “C:\Program Files\Internet Explorer\iexplore.exe http://google-hard.com“
9. A regisztrációs adatbázis módosításával létrehoz egy új postafiókot az Outlook Express szoftverben:
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86- 21D837FC310A}
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86- 21D837FC310A}\Software\Microsoft\Outlook Express\5.0″SpellDontIgnoreDBCS” = “0x00000001”
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86- 21D837FC310A}\Software\Microsoft\Outlook Express\5.0″MSIMN” = “0x00000001”
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86- 21D837FC310A}\Software\Microsoft\Outlook Express\5.0″StoreMigratedV5″ = “0x00000001”
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86- 21D837FC310A}\Software\Microsoft\Outlook Express\5.0″ConvertedToDBX” = “0x00000001”
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86- 21D837FC310A}\Software\Microsoft\Outlook Express\5.0″Settings Upgraded” = “0x00000007”
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86- 21D837FC310A}\Software\Microsoft\Outlook Express\5.0″Running” = “0x00000001”
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86- 21D837FC310A}\Software\Microsoft\Outlook Express\5.0″Store Root” = “%UserProfile%\Local Settings\Application Data\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Mic rosoft\Outlook Express”
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86- 21D837FC310A}\Software\Microsoft\Outlook Express\5.0\Mail”Welcome Message” = “0x00000000”
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86- 21D837FC310A}\Software\Microsoft\Outlook Express\5.0\Mail”Accounts Checked” = “00 00 00 00”
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86- 21D837FC310A}\Software\Microsoft\Outlook Express\5.0\Mail”Safe Attachments” = “0x00000001”
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86- 21D837FC310A}\Software\Microsoft\Outlook Express\5.0\Mail”Secure Safe Attachments” = “0x00000001”
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86- 21D837FC310A}\Software\Microsoft\Outlook Express\5.0\News”Accounts Checked” = “00 00 00 00”
HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4\Wab File Name”Default” = “%UserProfile%\Application Data\Microsoft\Address Book\%USERNAME%.wab”
HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4″OlkCont actRefresh” = “0x00000000”
HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4″OlkFold erRefresh” = “0x00000000”
HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4″FirstRu n” = “0x00000001”
10. Létrehozza a következő parancsikonokat, illetve hivatkozásokat:
%UserProfile%\Desktop\Internet Explorer.lnk
%UserProfile%\Desktop\VM18.lnk
%UserProfile%\Start Menu\Hard Explorer.lnk
%UserProfile%\Start Menu\Ultimi siti visitati.lnk
11. Letölt egy fájlt az Internetről, és elmenti azt az alábbiak szerint:
%Windows%\Downloaded Program Files\login.exe
12. Létrehozza a következő fájlt:
%System%\scansvc\trust\mpeg-video03.exe
13. A regisztrációs adatbázisban módosítja a következő bejegyzést:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Run”mpeg-video03.exe” = “%System%\scansvc\trust\mpeg-video03.exe”
14. Az Outlook Express címjegyzékében szereplő címekre továbbküldi saját magát.
A fertőzött levelek tárgya:
Indagine Privata
A fertőzött levelek mellékletéhez tartozó fájl neve:
mpeg-video00[egy számjegy].zip.