A Phiskap.A vírus készítői úgy gondolták, hogy a kártékony programjukat szöveges állományok révén fogják terjeszteni. Ennek megfelelően kifejezetten a doc, docx, illetve rtf kiterjesztéssel rendelkező fájlok megfertőzésére készítették fel a vírust, amely ennek a feladatának maradéktalanul képes eleget tenni. Ráadásul minden károsított állományt exe kiterjesztéssel lát el, amelyet ha a felhasználó elindít, akkor további problémák merülhetnek fel.
Az Isidor Biztonsági Központ jelentése szerint a Phiskap.A nemcsak a helyi adattárolókon kutatja fel az összes - az előbbiekben említett kiterjesztésekkel rendelkező - állományt, hanem a számára elérhető hálózati és cserélhető meghajtókat is végigpásztázza. Ezért akár hálózati megosztásokon, illetve pendrive-okkon keresztül is meglehetősen gyorsan képes terjedni.
Amikor a Phiskap.A vírus elindul, akkor az alábbi műveleteket hajtja végre:
1. A helyi, a hálózati és a cserélhető meghajtókon egyaránt felkutatja az összes .doc, .docx, illetve .rtf kiterjesztéssel rendelkező állományokat.
2. A megtalált dokumentumokat megfertőzi.
3. A fertőzött fájlokat átnevezi az alábbiak szerint
%aktuális könyvtár%\[eredeti fájlnév].exe
4. Amikor a felhasználó elindít egy fertőzött állományt, akkor megkeresi a következő fájlt:
C:\NOTVIRUS.txt
Amennyiben ez nem létezik, akkor létrehozza az alábbi könyvtárat:
C:\temp32\[véletlenszerű számok]
5. Létrehozza a következő állományt:
C:\NTsys.exe
Ezt a fájlt rejtett és archív attribútumokkal látja el.
6. Létrehozza az alábbi állományokat:
C:\NTFILE.$$$
C:\konstruktor.txt
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.