Az Areses.P féreg elsősorban orosz nyelvű üzeneteket tartalmazó emailekben terjed, és egy hátsó kaput nyit a fertőzött számítógépeken.
Az Areses.P a tipikus, elektronikus leveleken keresztül terjedő férgek közé tartozik. Figyelemreméltó tulajdonsága, hogy leginkább olyan levelek mellékletében terjed, amelyek üzenete orosz nyelven íródott.
Az Areses.P legfőbb veszélye, hogy egy Internetről letöltött URL lista alapján, különböző kártékony programokat telepít a kiszemelt számítógépekre. Ezt követően a fertőzött PC-ken egy hátsó kaput nyit, amelyen keresztül a támadók különböző kártékony műveleteket hajthatnak végre.
Amikor az Areses.P elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományokat:
%System%\msr2ca.dll
%Temp%\Message.hta
2. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
kulcsához hozzáadja az
“AppInit_DLLs” = “msr2ca.dll” értéket.
3. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion
kulcsához hozzáadja az
“App” = “[szám]” értéket.
4 Létrehozza a következő kulcsokat a regisztrációs adatbázisban:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion”x”
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion”ra”
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion”olo”
5. Letölt egy URL listát az Interneten keresztül.
6. Az URL lista alapján fájlokat tölt le, majd futtat a fertőzött számítógépeken.
7. Különböző kiterjesztésű fájlokból email címeket gyűjt össze. Ezekre a saját SMTP komponensének segítségével továbbküldi saját magát.
8. Nyit egy hátsó kaput egy véletlenszerűen kiválasztott TCP porton keresztül.