A Yahlover.DH féreg hálózati megosztásokon keresztül terjed, és a számítógépek tűzfalának hatástalanítására törekszik.
A Yahlover.DH féreg elsősorban hálózati meghajtókon, illetve megosztásokon keresztül terjed. A féreg a regisztrációs adatbázisban rengeteg módosítást végez. Így például új bejegyzéseket hoz létre, illetve módosít, valamint kulcsokat töröl. Ezzel többek között eléri azt, hogy a Windows Intézőjében ne minden állomány jelenjen meg a felhasználó előtt, amit a saját rejtőzködéséhez használ fel. Emellett olyan változtatásokat is eszközöl, amelynek révén képes megkerülni a Windows beépített tűzfalát.
A Yahlover.DH Interneten keresztül további kártékony programokat tölt le, valamint telepít a fertőzött számítógépekre.
Amikor a Yahlover.DH féreg elindul, akkor az alábbi műveleteket hajtja végre:
- Létrehozza a következő fájlokat:
%System%\csrcs.exe
%System%\autorun.inf - A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzéseket:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\
csrcs = “%System%\csrcs.exe”
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Shell = “Explorer.exe csrcs.exe”
HKLM\SOFTWARE\Microsoft\DRM\amty\fix = “”
HKLM\SOFTWARE\Microsoft\DRM\amty\exp1 = [véletlenszerű karakterek]
HKLM\SOFTWARE\Microsoft\DRM\amty\dreg = [véletlenszerű karakterek]
HKLM\SOFTWARE\Microsoft\DRM\amty\kiu = [véletlenszerű karakterek]
HKLM\SOFTWARE\Microsoft\DRM\amty\eggol = [véletlenszerű karakterek]
HKLM\SOFTWARE\Microsoft\DRM\amty\\\egexp = [véletlenszerű karakterek] - Lekérdezi a fertőzött számítógép IP címét.
- További számítógépeket próbál megfertőzni hálózaton keresztül. Ezekre véletlenszerű fájlnévvel ellátott állományokat másol fel.
- Interneten keresztül kártékony programokat tölt le.
- Hatástalanítja a Windows beépített tűzfalát:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications\List\
[féreg fájlneve] = [féreg fájlneve]:*:Enabled:Windows Life Messenger - Az esetlegesen futó NOD32 biztonsági szoftver hatástalanítása érdekében módosítja a regisztrációs adatbázist:
HKLM\SOFTWARE\ESET\Nod\CurrentVersion\Modules\AMON\Settings\
Config000\Settings\media_network = dword:00000000
HKLM\SOFTWARE\ESET\Nod\CurrentVersion\Modules\AMON\Settings\
Config000\Settings\exc = […]
HKLM\SOFTWARE\ESET\Nod\CurrentVersion\Modules\AMON\Settings\
Config000\Settings\exc_num = dword:0000000c - A regisztrációs adatbázisból kitörli az alábbi bejegyzéseket:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system - A regisztrációs adatbázisban módosítja a következő értékeket:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Hidden = dword:00000002
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
SuperHidden = dword:00000000
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
ShowSuperHidden = dword:00000000
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Folder\Hidden\SHOWALL\CheckedValue = dword:00000001
Ezzel elrejti a Windows Intézőjében a rejtett valamint a rendszer attribútummal rendelkező állományokat.