A Veewep vírus legfontosabb jellemzője, hogy tulajdonképpen válogatás nélkül szedi az áldozatait a futtatható állományok, illetve azokon keresztül a számítógépek körében. A kártékony program ugyanis a fertőzött rendszereken található összes futtatható fájlt megkeresi, amelyeket egytől-egyig megfertőz. Az elmúlt időszakban is sok olyan vírus jelent meg, amelyek legalább a rendszermappákban lévő állományokat megkímélték - elsősorban azért, hogy a Windows működőképes maradjon, és a továbbfertőzések valószínűsége nőjön - azonban a Veewep mit sem törődik a Windows épségével.
Az Isidor Biztonsági Központ által kiadott közlemény tanúsága szerint a Veewep a regisztrációs adatbázis manipulálásával kikapcsolja a Windows Update szolgáltatást, majd a hosts fájl módosításával a fertőzött rendszereken átirányításokat hajt végre. A vírus interneten keresztül további kártékony fájlok letöltésére is alkalmas.
Amikor a Veewep vírus elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlt:
%SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\Startup\ctfmon.exe
2. A rendszermeghajtó gyökérkönyvtárába bemásolja az alábbi állományt:
SSOLib.otl
3. A regisztrációs adtabázisból kitörli a következő értéket:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters\"ServiceDll" = "%System%\wuauserv.dll"
Ezzel kikapcsolja a Windows Update szolgáltatást.
4. Új bejegyzéseket fűz hozzá a hosts állományhoz.
5. Csatlakozik egy előre meghatározott távoli szerverhez az interneten keresztül.
6. Fájlokat tölt le a fertőzött számítógépekre.
7. A helyi meghajtókon az összes futtatható fájlt feltérképezi, majd azokat kivétel nélkül megfertőzi.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.