A Slogod.X féreg elsősorban a regisztrációs adatbázis manipulálásával éri el, hogy a Windows egyes összetevői ne zavarják a tevékenységét, és minél nehezebben lehessen felismerni, ha egy PC-re rákerül. A féreg ennek megfelelően kikapcsolja a Windows Biztonsági Központjának beállításait valamint a fájlmegjelenítést szabályozó paramétereket. Ezt követően arról is gondoskodik, hogy a Windows rendszerhelyreállító szolgáltatásával se lehessen visszaállítani a számítógépet egy korábbi állapotra. A kártékony program meggyőződik arról, hogy az operációs rendszer Autorun funkciója engedélyezett legyen, amivel igyekszik elősegíteni további kártevők terjedését.
Az Isidor Biztonsági Központ közleménye kitér arra is, hogy a Slogod.X az MP3 állományokhoz tartozó ikonokat megváltoztatja, majd az Internet Explorer egyes beállításain, például a megjelenő kezdőoldal URL-jén is módosít. A kártékony program legtöbbször egy "winfile.jpg" nevű állományban terjed.
Amikor a Slogod.X féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományokat:
%System%\winjpg.jpg
Ezt a fájlt rejtett, rendszer és archív attribútumokkal látja el.
2. A regisztrációs adatbázishoz hozzáfűzi az alábbi értéket:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\regdiit="%System%\win.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CTFMON=">%System%\wscript.exe /E:vbs %System%\winjpg.jpg"
3. A regisztrációs adatbázisban módosítja a következő bejegyzéseket:
HKCR\exefile\shell\Scan for virus,s\command\Default="%System%\wscript.exe /E:vbs %System%\winjpg.jpg"
HKCR\exefile\shell\Open application\command\Default="%System%\win.exe"
4. A regisztrációs adatbázis következő kulcsához új értékeket ad hozzá:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
5. Minden cserélhető meghajtó gyökérkönyvtárába felmásolja az alábbi állományokat:
winfile.jpg
autorun.inf
6. Létrehozza a következő fájlt:
%System%\win.exe
7. A regisztrációs adatbázisban módosítja az alábbi értéket:
HKLM\SOFTWARE\Classes\Vbsfile\DefaultIcon\Default="mp3 ikonfájl"
HKCR\VBSFile\FriendlyTypeName="MP3 Audio"
HKCR\mp3file\FriendlyTypeName="Good Songs"
HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer\LimitSystemRestoreCheckpointing="1"
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR="1"
HKLM\SYSTEMCurrentControlSet\Services\wuauserv\Start="4"
HKLM\SYSTEMCurrentControlSet\Services\wscsvc\Start="4"
HKLM\SOFTWARE\Microsoft\Security Center\AntiVirusOverride="1"
HKLM\SYSTEMCurrentControlSet\Services\SharedAccess\Start="4"
8. A regisztrációs adatbázisban megváltoztatja a következő bejegyzéseket:
HKLM\SOFTWARE\Microsoft\Windows Script Host\Settings\DisplayLogo="0"
HKLM\SOFTWARE\Microsoft\Windows Script Host\Settings\Timeout="0"
HKLM\SOFTWARE\Microsoft\Windows Script Host\Settings\Enabled="1"
HKCU\Software\Microsoft\Internet Explorer\Main\Window Title=""
HKCU\Software\Microsoft\Internet Explorer\Main\Start Page="..."
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun="0"
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden="1"
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt="1"
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden="0"
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden="0"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue="0"
1 hozzászólás
tcsa cikxq <a href="http://www.pe6.us/meratol/">meratol</a> auigxg o wt o iol hdvh pmgla [URL=http://www.pe6.us/meratol/ - weight loss and calories[/URL - bcbdsv y wt k dvv