A Pykspa.E féreg legfontosabb tulajdonsága, hogy Skype-on keresztül igyekszik minél több rendszert megfertőzni. Ehhez különböző üzeneteket küldözget a fertőzött számítógépeken található Skype alkalmazás segítségével. A címjegyzékben szereplő felhasználók közül egyet sem hagy ki, és mindenkinek egy-egy rövid, különböző tartalommal rendelkező üzenetet küld, amelyek végére egy kártékony weboldalra mutató hivatkozást is elhelyez. Amennyiben a címzett erre rákattint, akkor - megfelelő védelem hiányában - egy újabb PC eshet áldozatául a féregnek.
Az Isidor Biztonsági Központ jelentéséből kiderül, hogy a Pykspa.E meglehetősen sok módosítást végez a regisztrációs adatbázisban, amelyek révén módosítja a Windows Biztonsági Központjának beállításait, valamint a Windows Intéző működési paramétereit. A féreg a regisztrációs adatbázisból való törölgetéssel azt is eléri, hogy a Windowst ne lehessen csökkentett módban újraindítani. Ezzel próbálja megnehezíteni a vírusirtást.
Amikor a Pykspa.E féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományokat:
%System%\[véletlenszerű fájlnév].exe
%Temp%\[véletlenszerű fájlnév].exe
2. A regisztrációs adatbázishoz hozzáfűzi az alábbi értékeket:
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\"[véletlenszerű fájlnév]" = "[véletlenszerű fájlnév].exe"
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\"[véletlenszerű fájlnév]" = "%Temp%\(ramdom).exe"
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run\"[véletlenszerű fájlnév]" = "%Temp%\[véletlenszerű fájlnév].exe"
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run\"[véletlenszerű fájlnév]" = "(...).exe"
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\RunOnce\"[véletlenszerű fájlnév]" = "%Temp%\[véletlenszerű fájlnév].exe ."
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\RunOnce\"[véletlenszerű fájlnév]" = "[véletlenszerű fájlnév].exe ."
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[véletlenszerű fájlnév]" = "%Temp%\[véletlenszerű fájlnév].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[véletlenszerű fájlnév]" = "[véletlenszerű fájlnév].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\"[véletlenszerű fájlnév]" = "[véletlenszerű fájlnév].exe ."
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\"[véletlenszerű fájlnév]" = "%Temp%\[véletlenszerű fájlnév].exe ."
3. A regisztrációs adatbázisban módosítja a következő bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Security Center\"FirewallDisableNotify" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Security Center\"FirewallOverride" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableRegistryTools" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"DisableRegistryTools" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Security Center\"UpdatesDisableNotify" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"EnableLUA" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Security Center\"AntiVirusDisableNotify" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Security Center\"AntiVirusOverride" = "1"
4. A regisztrációs adatbázisban módosítja az alábbi értékeket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\"NoDriveTypeAutoRun" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue" = "145"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoDriveTypeAutoRun" = "181"
5. A regisztrációs adatbázisból való törölgetéssel megakadályozza, hogy a számítógép csökkentett módban újraindítható legyen.
6. Bizalmas információkat - elsősorban Skype-hoz tartozó adatokat - gyűjt össze, majd továbbít előre meghatározott szerverek felé.
7. Megpróbál Skype-on keresztül tovább terjedni. Ehhez üzeneteket kezd el küldözgetni az alkalmazáson keresztül a címjegyzékben szereplő személyek számára. Mindegyik üzenet tartalmaz egy kártékony weboldalra mutató hivatkozást is.
11 hozzászólás
törne el a keze az olyan programozóknak akik ilyeneket csinálnak...a billentyűzetét verném szét rajta...
Én meg az asztalt amin a billentyűzet van!
lelőném
A fereg irt 1 fereg virust. Mocsok fereg!
Megyek és kiharapom a szívét ennek a mocsok tetűnek! Beleordítok a tüdejébe és a letépett karját tömködöm le a torkán!
Naponta 3-szor minden magyarázat, vagy kérdés nélkül keserves kínok között megölni, és minden egyes alkalommal szarkofágban újraéleszteni, de úgy hogy mindenre emlékezzen.
Jo mert Mac-en nincs ilyen gond:)
Én csak sajnálni tudom a windows-t használókat szerencse hogy linuxon nincs ilyen :)
Csak az derül ki ebből, hogy a spameket nem szabad letölteni. De ezt eddig is tudtuk. A Skype-on van Adatvédelem/ Privacy beállítás, hogy csak az ismerősök érintkezhessenek velünk. (Beszélgetés ablak > Skype > Adatvédelem > Részletes beállítások > üzenetek engedélyezése >csak a partnerlistámon lévőknek.Más korlátozásokat is be lehet állítani ugyanitt- érdemes. Plusz: El lehet hárítani a kapcsolat-felkéréseket- egér jobb gombjával rákattintani az új partnerre > letiltás > Visszaélés jelentése. Ha ismeretlen ember ír nekünk, soha ne fogadjuk el, ne is klikkeljünk rá, csak az imént elmondott módon blokkoljuk.
Igen addig oké, hogyha ismeretlen ember ír letiltom, de mivel nekem a munkám az internethez köt és az érdeklődőknek a skypera van irányítva weboldal, info levél, így nehéz kivédeni ezt a dolgot. Nekem is úgy van beállítva a biztonsági rész,hogy csak a partnerlistámon lévők láthatják az adataimat,webkamerát és ők hívhatnak csak. Az utóbbi pár hétben viszont rengeteg török akart felvenni, amit természetesen azonnal tiltottam és jelentettem én is. Viszont az is tudomásomra jutott egyszer,hogy mikor aludtam, a gépem ki volt kapcsolva, a skypen elérhetőnek látszottam, de nem vettem észre semmi problémát és a vírus és féreg írtóm, figyelőm sem jelzett semmit. Hetente kézi indítással is átvizsgáltatom a gépet. Szerintem aki kellően védekezik azt ritkán érheti kellemetlen meglepetés!
Egy Skype beszélgetésem után, ma 16\'45 körül bejelentkezett egy ismeretlen név, és be tudott csengetni. Megadta a nevét Sam.... az Usa-ból. Mivel bejelentkezhetnek nyelvtanfolyam társaim, engedélyeztem a hívást. Egy félmeztelen férfi jelent meg a képernyőn és a tenyereit mutogatta felváltva. Egy szót se szólt. A neve mellett a Skype kék betűje volt, alsó sarkában piros pöttyökkel. Lezártam a gépet. Most mikor bújra kinyitottam, eltünt a skypom, új regisztrálkásra kértek fek, ezt megtettem, de nem fogadták el az új regisztrációmat. Kérem legyenek segítségemre.