Az Entice elsősorban elektronikus levelekben terjed. A fertőzött számítógépekről azokra az e-mail címekre továbbítja a saját állományait, amelyek szerepelnek az Outlook címjegyzékében. A vírus emellett hálózati megosztásokon keresztül is képes újabb rendszerek megfertőzésére. Egy T betűjellel ellátott meghajtó alá próbálja csatlakoztatni a hálózatba kötött számítógépeken megosztott mappákat.
Az Isidor Biztonsági Központ jelentése szerint a vírus legnagyobb veszélye, hogy bizonyos napokon olyan összetevői aktivizálódnak, amelyek komoly károkat tehetnek a számítógépeken. Az Entice az aktuális rendszerdátum alapján az alábbi tevékenységeket végzi el:
- a hónap első napján: WMW, MPEG és MP3 kiterjesztésű állományokat hoz létre a C:\WINDOWS\DESKTOP és a C:\UNZIPPED könyvtárakba.
- a hónap második napján kitörli a Windows gyökérkönyvtárában található fájlokat.
- a hónap harmadik napján kitörli a C meghajtó gyökérkönyvtárában található állományokat.
- a hónap negyedik napján kitörli a %windir%\system\ könyvtárban található fájlokat.
- a hónap ötödik napján, amennyiben a Windows korábban nem fertőződött meg, és vált használhatatlanná, letöröl mindent a C meghajtóról.
A vírus elleni védekezés során fontos a naprakészen tartott víruskeresők használata valamint a biztonsági mentések rendszeres elvégzése.
Amikor az Entice vírus elindul, akkor az alábbi műveleteket hatja végre:
1. Létrehozza a következő állományt:
C:\Windows\UN_Interview.txt.vbs
2. Minden felhasználó számára "elérhetővé teszi" a kódját az alábbi módon:
C:\WINDOWS\All Users\Start Menu\Programs\StartUp\UN_Interview.txt.vbs
3. Amennyiben létezik az alábbi fájl, akkor ahhoz hozzáfűzi a saját kódját:
C:\mirc\mirc.ini
A fenti állományt a Prune.A nevű féreg is létrehozhatja.
4. Amennyiben a hálózat feltérképezésekor talál olyan számítógépet, amely a 128.95.188.0 - 128.95.188.255 címtartományba tartozó IP-címmel rendelkezik, akkor annak megosztott könyvtárait megpróbálja csatlakoztatni a "T" betűjelű meghajtó alá.
5. Amennyiben sikerül az előbbi tevékenysége, akkor létrehozza a következő fájlokat:
T:\WINDOWS\All Users\Start Menu\Programs\StartUp\UN_Interview.TXT.vbs
T:\UN_Interview.TXT.vbs
T:\auto.vbs
6. Módosítja a C:\autoexec.bat állományt, amelyhez a következő sort fűzi hozzá:
start c:\UN_Interview.TXT.vbs>null
7. Létrehozza a következő fájlt:
%TEMP%\PEACH.jpg
8. A címjegyzékben található e-mail címekre üzeneteket kezd el küldözgetni.
A fertőzött levelek tárgya lehet:
"US Goverment Material - Iraq Crisis"
A fertőzött levelekhez tartozó állomány neve:
UN_Interview.txt.vbs
9. Az aktuális rendszerdátum függvényében a következő műveleteket hajtja végre:
- a hónap első napján: WMW, MPEG és MP3 kiterjesztésű állományokat hoz létre a C:\WINDOWS\DESKTOP és a C:\UNZIPPED könyvtárakba.
- a hónap második napján kitörli a Windows gyökérkönyvtárában található fájlokat.
- a hónap harmadik napján kitörli a C meghajtó gyökérkönyvtárában található állományokat.
- a hónap negyedik napján kitörli a %windir%\system\ könyvtárban található állományokat.
- a hónap ötödik napján, amennyiben a Windows korábban nem fertőződött meg, és vált használhatatlanná, letöröl mindent a C meghajtóról.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.