A Windows automatikus programindításra szolgáló funkciót már évek óta használják ki a különböző kártékony programok, és még napjainkban is meglehetősen komoly fenyegetést jelentenek mindezzel. Az operációs rendszer felhasználói közreműködést nem igénylő, programindítási szolgáltatásában rejlő lehetőségeket a vírusírók többféleképpen aknázzák ki. Az összetettebb számítógépes kártevők esetében mindez "csak" egy potenciális vírusterjesztési lehetőséget jelent, de vannak olyan károkozók is, amelyek kifejezetten erre a technikára építkeznek. Ezek közé tartozik az Autorun féreg is.
Az Isidor Biztonsági Központ közleménye szerint az Autorun legújabb, "MQ" betűjelű variánsa sem végez különösebben komplikált műveleteket. Mindössze két állományt hoz létre a rendszermeghajtó gyökérkönyvtárában valamint az Internet Explorer mappájában. Ezt követően gondoskodik arról, hogy a Windows minden egyes újraindításakor automatikusan be tudjon töltődni. A féreg egyes esetekben kártékony weboldalakhoz is képes csatlakozni.
A Windows automatikus programindítási funkciója segédprogramokkal vagy a Microsoft iránymutatásai alapján is kikapcsolható, szabályozható.
Amikor az Autorun.MQ féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%Programfiles%\Internet Explorer\svchost.exe
%Programfiles%\Internet Explorer\iesettings.ceb
2. A regisztrációs adatbázishoz hozzáfűzi a következő értéket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Svchost = “%Programfiles%\Internet Explorer\svchost.exe"
Ezzel gondoskodik arról, hogy a Windows minden egyes újraindításakor automatikusan be tudjon töltődni.
3. A rendszermeghajtó gyökérkönyvtárába bemásolja a következő fájlokat:
%rendszermeghajtó betűjele%\autorun.inf
%rendszermeghajtó betűjele%\Run.exe
4. Csatlakozik két előre meghatározott weboldalhoz.
5. Interneten keresztül esetenként különböző fájlokat tölt le.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.