A Yahlover.DH féreg hálózati megosztásokon keresztül terjed, és a számítógépek tűzfalának hatástalanítására törekszik.

A Yahlover.DH féreg elsősorban hálózati meghajtókon, illetve megosztásokon keresztül terjed. A féreg a regisztrációs adatbázisban rengeteg módosítást végez. Így például új bejegyzéseket hoz létre, illetve módosít, valamint kulcsokat töröl. Ezzel többek között eléri azt, hogy a Windows Intézőjében ne minden állomány jelenjen meg a felhasználó előtt, amit a saját rejtőzködéséhez használ fel. Emellett olyan változtatásokat is eszközöl, amelynek révén képes megkerülni a Windows beépített tűzfalát.

Vírushíradó - Tűzfalat rongál a Yahlover féreg

A Yahlover.DH Interneten keresztül további kártékony programokat tölt le, valamint telepít a fertőzött számítógépekre.

Amikor a Yahlover.DH féreg elindul, akkor az alábbi műveleteket hajtja végre:

  1. Létrehozza a következő fájlokat:
    %System%\csrcs.exe
    %System%\autorun.inf
  2. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzéseket:
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\
    csrcs = “%System%\csrcs.exe”
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
    Shell = “Explorer.exe csrcs.exe”
    HKLM\SOFTWARE\Microsoft\DRM\amty\fix = “”
    HKLM\SOFTWARE\Microsoft\DRM\amty\exp1 = [véletlenszerű karakterek]
    HKLM\SOFTWARE\Microsoft\DRM\amty\dreg = [véletlenszerű karakterek]
    HKLM\SOFTWARE\Microsoft\DRM\amty\kiu = [véletlenszerű karakterek]
    HKLM\SOFTWARE\Microsoft\DRM\amty\eggol = [véletlenszerű karakterek]
    HKLM\SOFTWARE\Microsoft\DRM\amty\\\egexp = [véletlenszerű karakterek]
  3. Lekérdezi a fertőzött számítógép IP címét.
  4. További számítógépeket próbál megfertőzni hálózaton keresztül. Ezekre véletlenszerű fájlnévvel ellátott állományokat másol fel.
  5. Interneten keresztül kártékony programokat tölt le.
  6. Hatástalanítja a Windows beépített tűzfalát:
    HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
    StandardProfile\AuthorizedApplications\List\
    [féreg fájlneve] = [féreg fájlneve]:*:Enabled:Windows Life Messenger
  7. Az esetlegesen futó NOD32 biztonsági szoftver hatástalanítása érdekében módosítja a regisztrációs adatbázist:
    HKLM\SOFTWARE\ESET\Nod\CurrentVersion\Modules\AMON\Settings\
    Config000\Settings\media_network = dword:00000000
    HKLM\SOFTWARE\ESET\Nod\CurrentVersion\Modules\AMON\Settings\
    Config000\Settings\exc = […]
    HKLM\SOFTWARE\ESET\Nod\CurrentVersion\Modules\AMON\Settings\
    Config000\Settings\exc_num = dword:0000000c
  8. A regisztrációs adatbázisból kitörli az alábbi bejegyzéseket:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
  9. A regisztrációs adatbázisban módosítja a következő értékeket:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
    Hidden = dword:00000002
    HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
    SuperHidden = dword:00000000
    HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
    ShowSuperHidden = dword:00000000
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
    Folder\Hidden\SHOWALL\CheckedValue = dword:00000001

Ezzel elrejti a Windows Intézőjében a rejtett valamint a rendszer attribútummal rendelkező állományokat.