A Jadtre.E vírus legfontosabb jellemzője, hogy a Windows szolgáltatását igyekszik manipulálni. Amennyiben számára nem szimpatikus szolgáltatás is fut a rendszeren, akkor egész egyszerűen leállítja azt. Ezzel biztosítja, hogy a rendszeren ne futhasson olyan összetevő, amely a későbbi tevékenységét akadályozhatja.
Az Isidor Biztonsági Központ jelentése arról árulkodik, hogy a Jadtre.E elsősorban cserélhető meghajtókon és hálózati megosztásokon keresztül igyekszik terjedni. Ez utóbbi esetben egy felhasználóneveket és jelszavakat tartalmazó lista alapján próbál csatlakozni a hálózati erőforrásokhoz, majd azokra felmásolni a saját állományait.
A Jadtre.E legveszélyesebb tulajdonsága, hogy a fertőzött PC-n található összes, .exe kiterjesztéssel rendelkező fájlt megfertőzi. Sőt még a RAR-állományokba is betekint, és amennyiben azokban is talál EXE-állományokat, akkor azokat is megfertőzi. A vírus mindezek miatt komoly károkat tehet a telepített programokban, sőt magában a Windows operációs rendszerben is.
Amikor a Jadtre.E vírus elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományt:
c:\cmt.exe
2. Megvizsgálja, hogy az alábbi szolgáltatások megtalálhatók-e a számítógépen, és azok futnak-e:
Schedule
RemoteRegistry
helpsvc
CryptSvc
Themes
Browser
Tapisrv
Nla
Netman
SSDPSRV
upnphost
Ntmssvc
EventSystem
xmlprov
WmdmPmSN
FastUserSwitchingCompatibility
BITS
AppMgmt
3. Amennyiben valamely fenti szolgáltatás fut, akkor leállítja azt.
4. Kikapcsolja a Windows System File Checker (SFC) összetevőjét, és a helyett a saját cmt.exe állományát futtatja le.
5. Létrehozza a következő állományt:
%System%\drivers\[véletlenszerű karakterek].sys
6. Megfertőzi az összes .exe kiterjesztésű fájlt.
7. A számítógépen fellelhető, RAR-állományokban megfertőzi a .exe kiterjesztésű fájlokat.
8. Minden cserélhető meghajtóra felmásolja az alábbi fájlokat:
[meghajtó betűjele]\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\setup.exe
[meghajtó betűjele]\autorun.inf
9. Egy felhasználóneveket és jelszavakat tartalmazó lista alapján megkísérel hálózati megosztásokhoz csatlakozni, és azokra felmásolni a saját állományait.
10. Interneten keresztül különböző fájlokat tölt le.
11. Módosítja a Windows Hosts állományát.
4 hozzászólás
durva :/
asszem ienem van:(:S:S
Az a durva, hogy vki ilyet telepít a saját gépére.....amikor vki rendszergazda módban telepít vmit akkor észnél kell lenni, ez alap, felhasználó fiókkal + SRP semmi esélye az ilyeneknek.
Nem , hogy durva ,hanem ezt már szavakkal kifejezni.Mi lesz néhány év múlva , ha már minden maximális vírus kergetőért fizetni kell ?