Word dokumentumnak álcázza magát a Racos féreg

1
Kristóf Csaba
2011. december 6., 08:50
Nyomtatás
A Racos.A féreg billentyűleütések kémlelésével igyekszik értékes információkhoz juttatni a terjesztőit.

A Racos.A féreg elsősorban cserélhető meghajtókon terjed. Ezekre egy Word dokumentumnak látszó, ugyanakkor futtatható fájlt másol fel, amely mellett egy olyan állományt is elhelyez, aminek révén minimális felhasználói beavatkozás mellett képes betöltődni. Vagyis kihasználja a Windows Autorun funkcióját.

Az Isidor Biztonsági Központ szerint a Racos.A folyamatosan monitorozza a billentyűleütéseket, majd az összegyűjtött adatokat rendszeresen feltölti egy előre meghatározott távoli szerverre. Eközben pedig manipulálja az operációs rendszer fájlmegjelenítési beállításait, valamint a regisztrációs adatbázis módosításával gondoskodik arról, hogy a Windows minden egyes betöltődésekor el tudjon indulni.

Amikor a Racos.A féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományt:
%Windows%/%Font%/smss.exe

2. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a fertőzött rendszeren.

3. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/smss="smss.exe"

4. A számítógéphez csatlakoztatott cserélhető meghajtókra felmásol egy "~$doc.exe" nevű fájlt.

5. A cserélhető meghajtók gyökérkönyvtárába létrehoz egy Autorun.inf nevű állományt.

6. A regisztrációs adatbázisban módosítja a következő értéket:
HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/ShowSuperHidden="0"

7. A fertőzött számítógépekről fájlokat tölt fel egy előre meghatározott távoli szerverre.

8. Folyamatosan monitorozza a billentyűleütéseket.

9. Az összegyűjtött bizalmas adatokat kiszivárogtatja a terjesztői számára.

 

 

Címkék:
Nyomtatás
Kapcsolódó hírek
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szerkesztőség és a szolgáltatás üzemeltetője semmilyen felelősséget nem vállal! A moderálási elvekbe ütköző hozzászólásokat szerkesztőségünk bármikor törölheti.

3 hozzászólás

  1. Donát írta:
    2011-12-06 12:52:35

    Hali! Hú nagyon köszi, bár az a helyzet, hogy az Én folyamataim között szerepel az \"smss.exe\". Na most annak alapból szerepelni kell, vagy azt már a vírus hozta létre??? Megpróbáltam leállítani de annak \"kék halál\" lett a vége. Viszont nem kattintottam semmiféle doc.exe-re.

  2. Ede írta:
    2011-12-06 12:57:20

    Attól az még nem biztos, hogy vírus, mert a Windowsnak is van egy ilyen nevű renszerfolyamata, ami nagyon is fontos. A lényeg, hogy ez a vírus a leírás szerint a font könyvtárba teszi be a saját smss.exe fájlát, a Windows-é pedig a System32-ben van. Ez utóbbit ne bántsd :)

  3. Donát írta:
    2011-12-06 13:22:39

    Oké köszi szépen. Lefuttattam a vírusirtót de nem talált semmit! Remélem nem kell nagyon aggódnom.

ESET Online Vírusirtó
Céginfó hírek (x)

Kiadó
Partnereink
IDG Worldwide

© 1999-2012 IDG Hungary Médiaszolgáltató Kft. Minden jog fenntartva.