Vágólapon garázdálkodik a Badday féreg
A Badday.A féreg elsősorban cserélhető valamint hálózati meghajtókon terjed, és számos bosszantó műveletet hajt végre a fertőzött számítógépeken.
A Badday.A féreg rengeteg fájlt hoz létre a kiszemelt számítógépeken, és legalább ennyi bejegyzést készít, illetve módosít a regisztrációs adatbázisban. E változtatások révén többek között elérhetetlenné teszi a Windows Feladatkezelőjét, és a regisztrációs adatbázis szerkesztőjét is.
A féreg egyes esetekben ablakokat zárogat be, és folyamatosan megváltoztatja a vágólap tartalmát, amivel nem kis bosszúságot okozhat a fertőzött PC felhasználójának.
Amikor a Badday.A féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%Windir%\Media\StartUp\scvhost.exe
%System%\hostdll.exe
%System%\taskfile.exe
%Windir%\spool32.exe
%SystemDrive%\HaveaBadDay.sys
2. A C-K betűjelű meghajtókra felmásolja az alábbi állományokat:
%meghajtó betűjele%\New_Folder.exe
%meghajtó betűjele%\autorun.inf
%meghajtó betűjele%\cool data.exe
%meghajtó betűjele%\New Folder (4).exe
%meghajtó betűjele%\dataku.exe
%meghajtó betűjele%\data kuliah.exe
%meghajtó betűjele%\New Folder (5).exe
%meghajtó betűjele%\system.exe
%meghajtó betűjele%\funny doc.exe
3. Másolatokat készít saját magából az alábbiak szerint:
%aktuális könyvtár%\jangan dihapus .exe
%aktuális könyvtár%\my sweety .exe
%aktuális könyvtár%\foto cewek .exe
%aktuális könyvtár%\kekasishku .exe
%aktuális könyvtár%\data penting .exe
%aktuális könyvtár%\downlodan .exe
%aktuális könyvtár%\update antivir .exe
%aktuális könyvtár%\kumpulan program .exe
%aktuális könyvtár%\movie bkp .exe
%aktuális könyvtár%\\\itip .exe
%aktuális könyvtár%\folder option .exe
4. A regisztrációs adatbázishoz hozzáadja a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile”NeverShow Ext” = “”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\App Paths\WindowsProfile.EXE”(default)” = “%Windir%\Media\StartUp\scvhost.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\policies\system”NoFolderOptions” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run”WindowsProfile” = “WindowsProfile Rundll32.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run”Printer Cpl” = “%Windir%\spool32.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Curren tVersion\SystemRestore”DisableConfig” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows \Installer”DisableMSI” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main”Window Title” = “>> Have A Bad Day <<“
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Explorer\User Shell Folders”Startup” = “%Windir%\Media\StartUp”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\Explorer”NoFind” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\Explorer”NoFolderOptions” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\Explorer”NoRun” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\System”DisableCMD” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Run”Microsoft Word” = “%System%\hostdll.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\policies\system”DisableRegistryTools” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\System”DisableRegistryTools” = “1”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\policies\system”DisableTaskMgr” = “1”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\System”DisableTaskMgr” = “1”
5. A regisztrációs adatbázisban módosítja az alábbi értékeket:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile”(default) ” = “File Folder”
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile”TileInfo” = “prop:DocComments”
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile”InfoTip” = “prop:DocComments”
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\\\egfile\shell\open \command”(default)” = “cmd.exe /c del “%1″”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion”RegisteredOrganization” = “your system is mine”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion”RegisteredOwner” = “your system is mine”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”Shell” = “Explorer.exe, C:\WINDOWS\system32\taskfile.exe”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Explorer\Advanced”Hidden” = “2”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Explorer\Advanced”HideFileExt” = 1″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Explorer\Advanced”ShowSuperHidden” = “0”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Explorer\Advanced”ClassicViewState” = “0”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Policies\Explorer”NoDriveTypeAutoRun” = “5B”
6. Megkeresi a következő kiterjesztéssel rendelkező állományokat:
.doc
.mpg
.3pg
.wmv
.rar
.jpg
.txt
Ezekből egy másolatot készít olyan formán, hogy a fájlnevekhez egy .exe kiterjesztést is hozzáad.
7. Bezárja azokat az ablakokat, amelyek címsorában megtalálható a következő szavak valamelyike:
kill
hijack
reg
process
8. A vágólapra folyamatosan a “Have a Bad Day” szöveget másolja be.