A Begmian féreg többnyire cserélhető meghajtókon - főként pendrive-okon - keresztül terjed. Az ilyen módon fertőző kártékony programokhoz hasonlóan a Begmian sem hagyja figyelmen kívül a Windows Autorun funkciójában rejlő lehetőségeket, és annak kihasználásával igyekszik elérni, hogy lehetőleg minél kevesebb felhasználói közreműködéssel legyen képes betöltődni a memóriába.
Az Isidor Biztonsági Központ tájékoztatása szerint a Begmian nem végez olyan műveleteket, amelyek megfelelő vírusvédelmi alkalmazások nélkül könnyen felismerhetőek lennének. A féreg mindössze két állományt másol fel a rendszerre, majd egy hátsó kaput nyit azokon. Ennek segítségével a következő tevékenységek elvégzésére vehetik rá a terjesztői:
- proxy szerver létrehozása (a 10000-res TCP porton keresztül)
- fájlok törlése
- fájlok letöltése és futtatása
- a trójai eltávolítása.
Amikor a Begmian féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományokat:
%Windir%/linkinfo.dll
%Windir%/twain_86.dll
2. Interneten keresztül csatlakozik előre meghatározott távoli szerverekhez.
3. Nyit egy hátsó kaput, és várakozik a támadók parancsaira.
4. Minden cserélhető adattárolóra felmásolja az alábbi fájlt:
%DriveLetter%/[a trójai eredeti fájlneve]
5. Minden cserélhető meghajtó gyökérkönyvtárába létrehoz egy autorun.inf nevű állományt, amelynek révén megpróbál minél kevesebb felhasználói közreműködéssel betöltődni.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.