Soubory RAR jsou infikovány červem Tigape

Tigape, který se šíří e-maily. Červ se primárně snaží schovat za soubory RAR a odzbrojí bezpečnostní software infikovaných počítačů.

Červ Tigape.A se šíří primárně prostřednictvím e-mailů. Požadované e-mailové adresy jsou shromažďovány z adresáře systému Windows. Červ vytváří řadu souborů na dostupných místních a síťových jednotkách a většinu času se maskuje jako soubory .rar.

Největší hrozbou pro červ Tigape.A je to, že deaktivuje bezpečnostní software běžící na infikovaných počítačích, včetně antivirových aplikací a bran firewall. Červ nešetří vestavěnou bránu firewall systému Windows, protože se ji také pokusí vypnout úpravou registru.

Když se červ Tigape.A spustí, provede následující akce:

1. Vytvořte soubor následujícím způsobem:
% System% \ wservice.exe

2. Zkopírujte se na každou dostupnou místní nebo síťovou jednotku. Červ používá příponu „.t“ a osmimístný název souboru.

3. Vytvořte soubor rar se jmény souborů sedmi náhodně generovaných znaků na každé dostupné místní nebo síťové jednotce.

4. Vytvořte následující soubor:
% CurrentFolder% \ [sedm náhodných znaků] .exe

5. Registrační databáze
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Run
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Run
přidává k vašim klíčům
“UpdateService” = “% System% \ wservice.exe…”.

6. Registrační databáze
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ S haredAccess
přidá k vašemu klíči
„Start“ = „4“ hodnota.
Tím se zakáže integrovaná brána Windows Firewall.

7. Sbírejte e-mailové adresy z adresáře Windows a předávejte jim je.

Subjektem infikovaných listů mohou být:
Novinky v Bílém domě!
URG
POZOR NA KAŽDÉHO!
PŘEČTĚTE SI A ZNOVU ZNOVU odešlete!
Neuvěřitelná zpráva!
ZPRÁVY!
ATTN
NALÉHAVÉ ZPRÁVY!

V připojených e-mailech může být připojen jeden z následujících souborů:
open.exe
pravda.exe
war.exe
last.exe
o me.exe
a.exe
nikdy.exe
nejnovější news.exe
přečtěte si me.exe

8. Zastaví procesy spojené s bezpečnostním softwarem.