A P2PShared.AV féreg alapvetően három különféle módon képes terjedni: egyrészt fájlcserélő hálózatokon keresztül, másrészt elektronikus levelek küldözgetésével, harmadrészt cserélhető meghajtók révén. A féreg a fájlcserélő alkalmazások megosztott könyvtáraiba másolja be magát jól ismert alkalmazások neveinek felhasználásával.
A P2PShared.AV számos olyan módosítást végez a fertőzött számítógépek regisztrációs adatbázisában, amelyek révén a Windows több szolgáltatását állítja le vagy bénítja meg. Ezek közé tartozik a hibajelentésért felelős összetevő és az UAC is. A féreg arról is gondoskodik, hogy a Windows beépített tűzfala ne jelentsen számára akadályt a későbbi tevékenysége során.
Az Isidor Biztonsági Központ szerint a P2PShared.AV jelenlétére leginkább az utalhat, hogy a webböngészők közbe-közbe furcsán kezdenek működni. A kártékony program ugyanis folyamatosan figyeli a böngészőkben megnyíló legnépszerűbb webes keresőket, és előre meghatározott, gyakori keresőszavak megadásakor különböző weboldalakra végez átirányításokat. Ezek a weblapok további fenyegetést jelenthetnek az érintett PC-kre.
A P2PShared.AV az Internet Explorer, a Firefox, a Chrome és az Opera esetében is működőképes. A féreg a következő weboldalak letöltésekor aktivizálódik:
aol.com
ask.com
bing.com
google.com
Amikor a P2PShared.AV féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehoz egy véletlenszerű névvel ellátott könyvtárat a következő mappába:
%Program Files%\Mozilla Firefox\extensions
2. Létrehozza az alábbi állományokat:
%Windows%\GOOGLEOVERLAY.EXE
%SystemProc%\LSASS.EXE
%Program Files%\Mozilla Firefox\extensions\CHROME.MANIFEST
%Program Files%\Mozilla Firefox\extensions\INSTALL.RDF
%Program Files%\Mozilla Firefox\extensions\TIMER.XUL,
3. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzéseket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\GoogleUpdater01 = %sysdir%\GoogleOverlay.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\RTHDBPL = C:\Documents and Settings\%felhazsnálónév%\Datos de programa\SystemProc\lsass.exe [...]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UACDisableNotify = 01, 00, 00, 00
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\EnableLUA = 00, 00, 00, 00
HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\SharedAccess\Parameters\ FirewallPolicy\StandardProfile\AuthorizedApplications\List\%sysdir%\GoogleOverlay.exe = %sysdir%\GoogleOverlay.exe:*:Enabled:Explorer
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc\DeleteFlag = 01, 00, 00, 00
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc\FailureActions = 0A, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00, 01, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00, B8, 0B, 00, 00
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\DeleteFlag = 01, 00, 00, 00
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\FailureActions = 0A, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00, 01, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00, B8, 0B, 00, 00
4. A regisztrációs adatbázisban módosítja az alábbi értékeket:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc\Start = 04, 00, 00, 00
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start = 04, 00, 00, 00
5. Bemásolja magát az alábbi alkalmazások megosztott könyvtáraiba (amennyiben azok léteznek):
- BearShare
- Edonkey2000
- Emule
- Grokster
- Icq
- Kazaa
- Limewire
- Tesla
- Winmx
6. Megpróbál elektronikus leveleken keresztül terjedni.
7. Minden cserélhető meghajtóra felmásolja a következő állományokat:
Recycler\S-%véletlenszerű számok%\REDMOND.EXE
%meghajtó betűjele%\AUTORUN.INF
8. Folyamatosan figyeli a böngészőkben végzett felhasználói tevékenységet.
9. Egyes webes keresések alkalmával átirányításokat végez.
1 hozzászólás
Köszönjük! De azért, jó lett volna valami támpontot kapni arra, hogy mi a teendő. Mivel lehet védekezni, távoltartani. Mert ezek szerint nem védekezik a vírusirtó progik sem? Vagy tévednék....?