A SillyFDC.BCG féreg azon kártékony programok közé tartozik, amelyek az úgynevezett "autorun.inf" technikát próbálják felhasználni a terjedésük során. Ezzel eléri, hogy a fájljait tartalmazó cserélhető meghajtók csatlakoztatásakor - a Windows beállításaitól függően - automatikusan be tud töltődni.
A SillyFDC.BCG a fertőzött rendszereken néhány fájlt hoz létre, és a rendszermeghajtó gyökérkönyvtárába is bemásolja saját magát. Ezt követően a regisztrációs adatbázis szerkesztésével megpróbálja elrejteni az állományait, majd létrehoz egy windowsos szolgáltatást. Ennek révén, amikor a felhasználó egy cserélhető meghajtót, például pendrive-ot csatlakoztat a számítógépéhez, akkor a féreg azonnal felmásolja a saját fájljait az adattárolóra.
Amikor a SillyFDC.BCG féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%System%\olhrwef.exe
%SystemDrive%\cahpcg.cmd
%SystemDrive%\autorun.inf
%System%\nmdfgds0.dll
2. Módosítja a következő állományokat:
%System%\drivers\cdaudio.sys
%System%\dllcache\cdaudio.sys
3. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"cdoosoft" = "%System%\olhrwef.exe"
4. A regisztrációs adatbázisban létrehozza a következő értékeket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden" = "2"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoDriveTypeAutoRun" = "181"
5. A regisztrációs adatbázist kiegészíti az alábbi bejegyzésekkel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AVPsys\"DisplayName" = "AVPsys"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AVPsys\"ErrorControl" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AVPsys\"ImagePath" = "%System%\drivers\cdaudio.sys"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AVPsys\"Start" = "3"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AVPsys\"Type" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AVPsys\Security\"Security" = "[...
6. Létrehoz egy AVPsys nevű szolgáltatást.
7. A regisztrációs adatbázisban létrehozza a következő értéket:
HKEY_CLASSES_ROOT\CLSID\MADOWN\"urlinfo" = "009-07-01 16:25:12] From:10.10.1.12:http:\\sder44.net [...] (Fedora)\0aSERVER_NAME=sde"
8. Csatlakozik egy előre meghatározott távoli szerverhez.
9. Minden számára elérhető cserélhető meghajtóra felmásolja a következő állományokat:
%DriveLetter%\cahpcg.cmd
%DriveLetter%\autorun.inf
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.