RAR állományokat fertőz a Tigape féreg
Az elektronikus levelekben terjedő Tigape.A féreg elsősorban RAR állományok mögé igyekszik elrejtőzni, és hatástalanítja a fertőzött számítógépek biztonsági szoftvereit.
A Tigape.A féreg elsősorban elektronikus leveleken keresztül terjed. Az ehhez szükséges email címeket a Windows címjegyzékéből gyűjti össze. A féreg számos fájlt hoz létre az elérhető helyi, illetve hálózati meghajtókon, és legtöbbször .rar kiterjesztésű állományoknak álcázza magát.
A Tigape.A féreg legnagyobb veszélye, hogy hatástalanítja a fertőzött számítógépeken futó biztonsági szoftvereket, így többek között a víruskereső alkalmazásokat és a tűzfalakat is. A féreg a Windows beépített tűzfalát sem kíméli, ugyanis a regisztrációs adatbázis módosításával azt is igyekszik kikapcsolni.
Amikor a Tigape.A féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehoz egy fájlt az alábbiak szerint:
%System%\wservice.exe
2. Bemásolja magát minden elérhető helyi illetve hálózati meghajtóra. A féreg “.t” kiterjesztést és nyolc karakterből álló fájlnevet használ.
3. Minden elérhető helyi illetve hálózati meghajtón létrehoz egy rar állományt hét véletlenszerűen generált karakterből álló fájlnévvel.
4. Létrehozza az alábbi fájlt:
%CurrentFolder%\[hét véletlenszerű karakter].exe
5. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Run
kulcsaihoz hozzáadja az
“UpdateService” = “%System%\wservice.exe…” értéket.
6. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\S haredAccess
kulcsához hozzáadja a
“Start” = “4” értéket.
Ezzel hatástalanítja a Windows beépített tűzfalát.
7. Email címeket gyűjt össze a Windows címjegyzékéből, majd azokra továbbküldi saját magát.
A fertőzött levelek tárgya lehet:
White house news!
URG
ATTN TO EVERYBODY!
READ AND RESEND ASAP!
Incredible news!
NEWS!
ATTN
URGENT NEWS!
A fertőzött emailek mellékletéhez a következő fájlok egyike tartozhat:
open.exe
truth.exe
war.exe
last.exe
about me.exe
a.exe
never.exe
latest news.exe
read me.exe
8. Leállítja a biztonsági szoftverekhez tartozó folyamatokat.