A Fruspam.A féreg legfontosabb célja, hogy a fertőzött rendszerekről minél több spamet küldjön el. Ehhez az Internetről - többek között az IKEA és a Hallmark weboldalairól - teljesen ártalmatlan képeket tölt le, amelyeket - megtévesztési célokkal - beilleszt az üzeneteibe. Ezt követően olyan levelezőszerverek után kezd kutakodni, amelyek révén célba juttathatja a küldeményeit.
A Fruspam.A érdekessége, hogy az IIS webszervert futtató számítógépeken megfertőzi a kiszolgáló alapértelmezett nyitóoldalát. Ezen egy hamis biztonsági figyelmeztetést helyez el, és arra próbálja rávenni a felhasználót, hogy egy linkre való kattintással telepítsen fel egy frissítést. A hivatkozás azonban egy helyben tárolt, fertőzött fájlra mutat.
A Fruspam.A a regisztrációs adatbázis módosításával képes megkerülni a Windows beépített tűzfalát.
Amikor a Fruspam.A féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%System%\jqs.exe
%System%\jushed.exe
2. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzéseket:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run QnX = "%System%\jqs.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run SunJavaUpdater = "%System%\jushed.exe"
3. A regisztrációs adatbázisban módosítja a következő bejegyzéseket:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run QnX = "%System%\jqs.exe"
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{77520Q86-864L-N81R-0R2W-7U2G0P22436U}\StubPath = ""%System%\jqs.exe""
4. Előre meghatározott - ártalmatlan - weboldalakról képeket töltöget le, amelyeket felhasznál azokban az emailekben, melyek révén megpróbál terjedni.
5. DNS MX rekordok lekérdezésével megpróbál olyan levelezőszervereket felderíteni, amelyek révén a kártékony leveleit küldözgetheti.
6. Amennyiben a fertőzött rendszeren fut IIS webszerver, akkor lecseréli az alábbi fájlt a saját webes állományára:
%Root%\inetpub\wwwroot\index.htm
E fájl révén egy hamis biztonsági figyelmeztetést jelenít meg. A weblapon szerepel egy "MS09-067" nevű link is, amire ha a felhasználó rákattint, akkor a féreg indul el. A hivatkozás a következő állományra mutat:
%Root%\inetpub\wwwroot\ms09-067.exe
7. A regisztrációs adatbázisban módosítja a következő bejegyzéseket:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\sun = "01"
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\java = "06"
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetFileStatex
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\CabinetFileStatex
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\%System%\jushed.exe = "%System%\jushed.exe:*:Enabled:Explorer"
Az utóbbi kulcs révén megkerüli a Windows beépített tűzfalát.
8. Létrehoz egy mutexet annak érdekében, hogy a fertőzött rendszereken csak egy példányban fusson.
5 hozzászólás
Milyen hatásos eltávolító progi van rá? Ha jól tudom, ez nem valami régi féreg...
Format c: XDDDDDD
Én is szeretnék megszabadulni ettől a fruspamtól! Minden ötletre fogékomy vagyok.
Spongya Bazd meg anyád a vicceddel
jqs.exe alapból a java quick starter, vezérlőpult->java->advanced