Azonnali üzenetküldőkről támad a Stekct féreg

1
Kristóf Csaba
2012. február 20., 09:20
Nyomtatás
A Stekct.A féreg azonnali üzenetküldőkön terjed, és kártékony weboldalak meglátogatására próbálja rávenni a felhasználókat.

A Stekct.A féreg legfontosabb terjesztési csatornáját az azonnali üzenetküldők jelentik. Így például felbukkanhat a Skype-on, a Windows Live Messengeren valamint a Yahoo Messengeren is. Minden esetben az alkalmazások címjegyzékében szereplő személyek számára üzeneteket küldözget. Ezekben olyan hivatkozásokat is elhelyez, melyek ártalmas, további vírusok terjedését szolgáló weblapokra mutatnak. Itt kell megjegyezni, hogy a Stekct.A a Facebook felhasználóinak számítógépeit is kiszemelte magának, és bizonyos körülmények között a közösségépítőben rejlő lehetőségeket is megpróbálja a saját javára fordítani.

Az Isidor Biztonsági Központ közleménye szerint a Stekct.A a fertőzött számítógépeken gondoskodik arról, hogy a Windows beépített tűzfala ne jelentsen számára akadályt a különféle tevékenységeinek végrehajtása során. Emellett pedig egyes biztonsági alkalmazásokat is igyekszik hatástalanítani.

Amikor a Stekct.A féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
%windir%/mdm.exe
%ProgramFiles%/mdm.exe
%PUBLIC%/mdm.exe

2. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket:
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/Microsoft Firevall Engine="[a féreg fájlneve]"
HKCU/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/Microsoft Firevall Engine="%windir%/mdm.exe"
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Terminal Server/Install/Software/Microsoft/Windows/CurrentVersion/Run/Microsoft Firevall Engine="%windir%/mdm.exe"

3. Az alábbi üzenetküldők és webes szolgáltatások címjegyzékében szereplő személyek számára egy kártékony weboldalra mutató hivatkozással ellátott üzenetet küld:
AIM
Facebook
GIMP
Google Talk
ICQ
Skype
Windows Live Messenger
Yahoo Messenger

4. Csatlakozik egy előre meghatározott távoli szerverhez, amelyről további állományokat tölt le.

5. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKLM/SYSTEM/CurrentControlSet/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications/List/[fájlnév]="[fájlnév]:*:enabled:microsoft firevall engine"

6. Leállítja az alábbi folyamatokat, amennyiben azok léteznek, majd letörli az azokhoz tartozó fájlokat:
egui.exe
ekrn.exe
msseces.exe
svhost.exe
YahooAUService.exe

 

Címkék:
Nyomtatás
Kapcsolódó hírek
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szerkesztőség és a szolgáltatás üzemeltetője semmilyen felelősséget nem vállal! A moderálási elvekbe ütköző hozzászólásokat szerkesztőségünk bármikor törölheti.

0 hozzászólás

Ehhez a cikkhez még nem érkezett hozzászólás.
ESET Online Vírusirtó
Céginfó hírek (x)

Kiadó
Partnereink
IDG Worldwide

© 1999-2012 IDG Hungary Médiaszolgáltató Kft. Minden jog fenntartva.