Vírushíradó – Tűzfalat rongál a Yahlover féreg

A Yahlover.DH féreg hálózati megosztásokon keresztül terjed, és a számítógépek tűzfalának hatástalanítására törekszik.

A Yahlover.DH féreg elsősorban hálózati meghajtókon, illetve megosztásokon keresztül terjed. A féreg a regisztrációs adatbázisban rengeteg módosítást végez. Így például új bejegyzéseket hoz létre, illetve módosít, valamint kulcsokat töröl. Ezzel többek között eléri azt, hogy a Windows Intézőjében ne minden állomány jelenjen meg a felhasználó előtt, amit a saját rejtőzködéséhez használ fel. Emellett olyan változtatásokat is eszközöl, amelynek révén képes megkerülni a Windows beépített tűzfalát.

A Yahlover.DH Interneten keresztül további kártékony programokat tölt le, valamint telepít a fertőzött számítógépekre.

Amikor a Yahlover.DH féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
   %System%\csrcs.exe
   %System%\autorun.inf
2. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzéseket:
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\
   csrcs = “%System%\csrcs.exe”
   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
   Shell = “Explorer.exe csrcs.exe”
   HKLM\SOFTWARE\Microsoft\DRM\amty\fix = “”
   HKLM\SOFTWARE\Microsoft\DRM\amty\exp1 = [véletlenszerű karakterek]
   HKLM\SOFTWARE\Microsoft\DRM\amty\dreg = [véletlenszerű karakterek]
   HKLM\SOFTWARE\Microsoft\DRM\amty\kiu = [véletlenszerű karakterek]
   HKLM\SOFTWARE\Microsoft\DRM\amty\eggol = [véletlenszerű karakterek]
   HKLM\SOFTWARE\Microsoft\DRM\amty\\\egexp = [véletlenszerű karakterek]
3. Lekérdezi a fertőzött számítógép IP címét.
4. További számítógépeket próbál megfertőzni hálózaton keresztül. Ezekre véletlenszerű fájlnévvel ellátott állományokat másol fel.
5. Interneten keresztül kártékony programokat tölt le.
6. Hatástalanítja a Windows beépített tűzfalát:
   HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
   StandardProfile\AuthorizedApplications\List\
   [féreg fájlneve] = [féreg fájlneve]:*:Enabled:Windows Life Messenger
7. Az esetlegesen futó NOD32 biztonsági szoftver hatástalanítása érdekében módosítja a regisztrációs adatbázist:
   HKLM\SOFTWARE\ESET\Nod\CurrentVersion\Modules\AMON\Settings\
   Config000\Settings\media_network = dword:00000000
   HKLM\SOFTWARE\ESET\Nod\CurrentVersion\Modules\AMON\Settings\
   Config000\Settings\exc = […]
   HKLM\SOFTWARE\ESET\Nod\CurrentVersion\Modules\AMON\Settings\
   Config000\Settings\exc_num = dword:0000000c
8. A regisztrációs adatbázisból kitörli az alábbi bejegyzéseket:
   HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
9. A regisztrációs adatbázisban módosítja a következő értékeket:
   HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Hidden = dword:00000002
   HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   SuperHidden = dword:00000000
   HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   ShowSuperHidden = dword:00000000
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL\CheckedValue = dword:00000001

Ezzel elrejti a Windows Intézőjében a rejtett valamint a rendszer attribútummal rendelkező állományokat.