Az Imsolk.A féreg néhány fájl létrehozása után azonnal feltérképezi a helyi hálózatot, és megpróbál minél több számítógépre felkerülni. Egyrészt felmásolja a saját állományait a megosztott meghajtókra, másrészt arról is gondoskodik, hogy ezek újbóli csatlakoztatásakor lehetőleg automatikusan el tudjon indulni. A kártékony program azonban nemcsak ilyen módon képes szaporodni, ugyanis az Outlook címjegyzékében szereplő e-mail címek felhasználásával megpróbál elektronikus levelekben terjedni, és ha módja nyílik rá, akkor még a Yahoo! Messengeren keresztül is megkísérel további PC-kre felkerülni.
Az Isidor Biztonsági Központ jelentése szerint az Imsolk.A veszélye nemcsak abban rejlik, hogy gyorsan képes terjedni, hanem abban is, hogy maga után olyan számítógépeket hagy, amelyek teljesen kiszolgáltatottá válnak az egyéb károkozókkal szemben. Az Imsolk ugyanis igyekszik leállítani, és eltávolítani a biztonsági alkalmazásokhoz tartozó szolgáltatásokat.
Az Imsolk.A egyik ismertetőjele, hogy meggátolja az Outlook szoftver használatát.
Amikor az Imsolk.A féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományokat:
%Windir%\svchost.exe
%Windir%\ff.exe
%Windir%\gc.exe
%Windir%\ie.exe
%Windir%\im.exe
%Windir%\op.exe
%Windir%\pspv.exe
%Windir%\rd.exe
%Windir%\system32\SendEmail.dll
%Windir%\tryme1.exe
2. A hálózati meghajtók gyökérkönyvtárába bemásolja az alábbi két fájlt:
open.exe
autorun.inf
3. A megfertőzött rendszer munkacsoportjában található számítógépek megosztott meghajtóira megpróbál felmásolni egy "N73.Image12.03.2009.JPG.scr" nevű állományt.
4. Minden exe kiterjesztésű fájlt kitöröl a következő könyvtárakból (amennyiben azok léteznek):
C:\Program Files\USB Disk Security
D:\Program Files\USB Disk Security
5. A regisztrációs adatbázisban módosítja az alábbi bejegyzést:
HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe C:\WINDOWS\svchost.exe"
6. A regisztrációs adatbázis következő kulcsához számos új értéket ad hozzá:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
7. A regisztrációs adatbázisban módosítja a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\EnableLUA" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\PromptOnSecureDesktop" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\EnableVirtualization" = "0"
8. A regisztrációs adatbázisból kitörli az alábbi kulcsokat, értékeket:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc
HKEY_LOCAL_MACHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscntfy.exe\"Debugger" = "svchost.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wsctool.exe\"Debugger" = "svchost.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\yannh.cmd\"Debugger" = "svchost.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ybHINE\SYSTEM\ControlSet001\Services\wuauserv
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv
9. Biztonsági szoftverekhez tartozó szolgáltatásokat állít le, illetve távolít el.
10. Leállítja az alábbi folyamatokat (amennyiben azok léteznek):
CPE17AntiAutoruna.exe
outlook.exe
Usbguard.exe
11. Előre meghatározott távoli szerverekről különféle fájlokat tölt le.
12. Az Outlook címjegyzékében szereplő e-mail címekre leveleket küld ki. Ezek tárgya lehet:
"Here you have"
13. Amennyiben hozzá tud férni a Yahoo! Messengerhez, akkor különböző üzeneteket kezd el küldözgetni.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.