A Custam féreg azon klasszikusnak mondható kártékony programok közé tartozik, amelyek cserélhető meghajtókon keresztül terjednek. Amennyiben például egy pendrive-ra rákerül, akkor bizonyos esetekben, különösebb felhasználói közreműködés nélkül is képes megfertőzni a számítógépeket.
Az Isidor Biztonsági Központ jelentése alapján elmondható, hogy a Custam legnagyobb kockázata abba rejlik, hogy egy hátsó kaput létesít a fertőzött rendszereken, amelyen keresztül fogadja a támadók parancsait. A féreg mindezt az 5900-as TCP porton keresztül teszi meg, vagyis a naprakészen tartott vírusvédelem mellett egy megfelelően konfigurált tűzfallal is jól lehet védekezni a féreg kártékony tevékenysége ellen.
Amikor a Custam féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományokat:
%rendszermeghajtó%\[véletlenszerű karakterek]\[SID]\DeSkToP.ini
%rendszermeghajtó %\[véletlenszerű karakterek]\[SID]\[véletlenszerű karakterek].exe
2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{63KLC5K0-4OPM-00WE-AAX8-17EF1D187263}
3. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson az érintett rendszeren.
4. Csatlakozik egy előre meghatározott IRC szerverhez, és nyit egy hátsó kaput az 5900-as TCP porton keresztül.
5. Interneten keresztül különböző fájlokat tölt le.
6. Minden cserélhető meghajtóra felmásolja a következő állományokat:
%meghajtó betűjele%\Autorun.Inf
%meghajtó betűjele%\[véletlenszerű karakterek]\[SID]\[véletlenszerű karakterek].exe
%meghajtó betűjele%\[véletlenszerű karakterek]\[SID]\DeSkToP.ini
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.