A Xema.A vírus számos kártékony tevékenység révén tudja megkeseríteni a fertőzött számítógépek felhasználóinak mindennapjait.

A Xema.A vírus az összetett kártékony programok közé sorolható. Ennek elsősorban az az oka, hogy számos káros művelet végrehajtására alkalmas. A kártevő a kiszemelt PC-kre cserélhető vagy hálózati meghajtókon keresztül érkezik meg. Ezt követően azokon rengeteg fájlt hoz létre, és rendszerinformációkat kezd el összegyűjteni, amelyeket az Internet Explorer webböngésző révén juttat el a támadókhoz. A vírus a fertőzött PC IP-címére, operációs rendszerének verziójára valamint a fertőzés időpontjára vonatkozó adatokat szolgáltat ki. Ezt követően egy hátsó kaput nyit, és várakozik a támadók parancsaira, akik többek között az alábbi műveleteket hajthatják végre:

  • csatlakozás távoli számítógépekhez
  • fájlok letöltése vagy létrehozása
  • állományok elrejtése
  • hálózati műveletek elvégzése.

A vírus a Windows indítópultjába másolja be az egyik állományát és ezáltal igyekszik arról gondoskodni, hogy az operációs rendszer minden egyes betöltődésekor automatikusan el tudjon indulni.

Vírushíradó - Xema, az univerzális vírus

Amikor a Xema.A vírus elindul, akkor az alábbi műveleteket hajtja végre:

  1. A Windows System32 könyvtárába létrehozza a következő fájlokat:
    c_10810.nls
    c_19460.nls
    c_20462.nls
    inter32.dll
    shell64.dll
    shlmon.exe
    w1234.exe
    serlibk.exe
    windfire.exe
    windfire2.exe
    msregsv.exe
    config\systemevent.log
    config\software.chk
    config\Temporary Internet Files\.iau
  2. A Windows Indítópultjához hozzáad egy officexp.exe nevű állományt.
  3. A regisztrációs adatbázisban módosítja a következő bejegyzést:
    HKCR\CLSID\{AEB6717E-7E19-11d0-97EE-00C04FD91972}\InProcServer32\
    “shell32.dll” = “%System%\shell64.dll”
  4. Minden, számára írható meghajtón létrehozza a következő állományokat:
    Recycled\deskinf.pif
    Recycled\deskinf.ini
    Recycled\~INFO2
    Recycled\~WR00001.doc
    Recycled\~WR00002.doc
    Recycled\windfire2.exe
    autorun.inf
  5. Rendszerinformációkat gyűjt össze, amelyeket egy véletlenszerű fájlnévvel valamint .iau kiterjesztéssel rendelkező állományba ment el a %System%\config\Temporary Internet Files könyvtárba.
  6. Internet Explorer segítségével továbbítja az összegyűjtött adatokat egy előre meghatározott szerverre.
  7. Egy hátsó kaput nyit a fertőzött számítógépeken, majd várakozik a támadók parancsaira.
  8. A regisztrációs adatbázisban módosítja a következő bejegyzést:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
    Advance\ShowSuperHidden=0
  9. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a kiszemelt rendszeren.