Červ, který odzbrojuje bezpečnostní software

Stration.C je červ založený na e-mailu, který stahuje škodlivé soubory z internetu a deaktivuje bezpečnostní software.

Červ Stration.C shromažďuje e-mailové adresy potřebné pro jeho šíření z adresáře Windows a ze souborů s různými příponami na infikovaných počítačích. Červ vytvoří řadu souborů a upraví registr. Poté se pokusí deaktivovat bezpečnostní software - zejména brány firewall - aby bylo možné volně stahovat soubory z internetu.

Po spuštění Stration.C provede následující akce:

1. Vytvořte následující soubory:
% Windir% \\\ smb.exe
% Windir% \\\ smb.dll
% Windir% \\\ smb.vosk
% Windir% \\\ smb.gfx
% System% \ acac.dll
% System% \ corpdpvv.exe
% System% \ d3diusp1.dll
% System% \ fldrtsd3.dll
% System% \ sisbmsxb.dll
[náhodná čísla] .tmp

2. Registrační databáze
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Run
přidá k vašemu klíči
„Rsmb“ = ”% Windows% \\\ smb.exe s”.

3. Přidejte následující záznam do registrační databáze:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify \ acac

4. Registrační databáze
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows
přidá do vašeho klíče
Hodnota „AppInit_DLLs“ = ”sisbmsxb.dll fldrtsd3.dll“.

5. Zastaví služby spojené s bezpečnostním softwarem.

6. Stáhněte a spusťte soubor.

7. Shromažďuje e -mailové adresy z adresáře Windows a soubory s různými příponami. K těm se přeposílá.

Subjektem infikovaných listů mohou být:
ahoj
obrázek
Server Report
Status
test
Dobrý den
Chyba
Mail Delivery System
Poštovní transakce se nezdařila

Soubory s příponami souborů .log, .elm, .msg, .txt nebo .dat lze pojmenovat:
tělo
datum
do
dokumenty
dokument
soubor
zpráva
readme
test
textu.