A Cantix.A alapját egy VB Script jelenti, amelynek segítségével minden olyan műveletet képes végrehajtani, amely a feladatainak ellátásához szükséges. Ezek közül az egyik meglehetősen érdekes, hiszen január, április, július és október első napján - minden előzetes jel nélkül - elkezd nyomatatni. Ennek során egy általa létrehozott dokumentumot küld az alapértelmezett nyomtatóra.
Az Isidor Biztonsági Központ szerint a Cantix.A elsősorban cserélhető meghajtókon keresztül terjed. A regisztrációs adatbázis manipulálásával eléri, hogy a Windows minden egyes újraindulásakor automatikusan be tudjon töltődni, majd megváltoztatja az Internet Explorer kezdőoldalát. Mindezek mellett módosítja a könyvtár- és fájlmegjelenítési beállításokat, valamint elérhetetlenné teszi a regisztrációs adatbázis szerkesztőjét.
Amikor a Cantix.A féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományt:
%system32%\[véletlenszerű karakterek].tmp
%system32%\v.doc
C:\dekstop.ini
%my documents%\df5srvc.bfe
2. A C meghajtó gyökérkönyvtárába olyan parancsikonokat hoz létre, amelyek neve megegyezik a meghajtón található legfelsőbb szintű mappák neveivel. Például:
C:\Documents and Settings.lnk
3. A saját kódjából készít egy másolatot a következők szerint:
C:\dekstop.ini
4. A regisztrációs adatbázisban létrehozza az alábbi bejegyzéseket:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Df5serv="wscript.exe //e:vbscript "c:\documents and settings\administrator\my documents\df5srvc.bfe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WinUpdate="wscript.exe //e:vbscript "%windir%\:microsoft office update for windows xp.sys"
5. A regisztrációs adatbázisban módosítja a következő értékeket:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistrytools="1"
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\WarningIfNotDefault="..."
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\CheckedValue="0"
6. A cserélhető adattárolók gyökérkönyvtárába létrehoz egy dekstop.ini és egy autorun.inf nevű állományt.
7. Létrehozza a következő fájlokat:
%appdata%\microsoft\cd burning\dekstop.ini
%appdata%\microsoft\cd burning\autorun.inf
8. A regisztrációs adatbázisban módosítja az alábbi értéket:
HKCU\Software\Microsoft\Internet Explorer\Main\Start Page="..."
9. Amennyiben a rendszerdátum január, április, július vagy október első napját mutatja, akkor lefuttatja a következő parancsot:
notepad.exe /p %system32%\v.doc
Ezzel kinyomtatja a v.doc állományt.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.