Červ, který odzbrojuje bezpečnostní software
Stration.C je červ založený na e-mailu, který stahuje škodlivé soubory z internetu a deaktivuje bezpečnostní software.
Červ Stration.C shromažďuje e-mailové adresy potřebné pro jeho šíření z adresáře Windows a ze souborů s různými příponami na infikovaných počítačích. Červ vytvoří řadu souborů a upraví registr. Poté se pokusí deaktivovat bezpečnostní software - zejména brány firewall - aby bylo možné volně stahovat soubory z internetu.
Po spuštění Stration.C provede následující akce:
1. Vytvořte následující soubory:
% Windir% \\\ smb.exe
% Windir% \\\ smb.dll
% Windir% \\\ smb.vosk
% Windir% \\\ smb.gfx
% System% \ acac.dll
% System% \ corpdpvv.exe
% System% \ d3diusp1.dll
% System% \ fldrtsd3.dll
% System% \ sisbmsxb.dll
[náhodná čísla] .tmp
2. Registrační databáze
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Run
přidá k vašemu klíči
„Rsmb“ = ”% Windows% \\\ smb.exe s”.
3. Přidejte následující záznam do registrační databáze:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify \ acac
4. Registrační databáze
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows
přidá do vašeho klíče
Hodnota „AppInit_DLLs“ = ”sisbmsxb.dll fldrtsd3.dll“.
5. Zastaví služby spojené s bezpečnostním softwarem.
6. Stáhněte a spusťte soubor.
7. Shromažďuje e -mailové adresy z adresáře Windows a soubory s různými příponami. K těm se přeposílá.
Subjektem infikovaných listů mohou být:
ahoj
obrázek
Server Report
Status
test
Dobrý den
Chyba
Mail Delivery System
Poštovní transakce se nezdařila
Soubory s příponami souborů .log, .elm, .msg, .txt nebo .dat lze pojmenovat:
tělo
datum
do
dokumenty
dokument
soubor
zpráva
readme
test
textu.