Červ, ktorý odzbrojuje bezpečnostný softvér
Stration.C je červ založený na e-mailoch, ktorý sťahuje škodlivé súbory z internetu a deaktivuje bezpečnostný softvér.
Červ Stration.C zhromažďuje e-mailové adresy potrebné na jeho šírenie z adresára systému Windows a zo súborov s rôznymi príponami v infikovaných počítačoch. Červ vytvára množstvo súborov a upravuje register. Potom sa pokúsi deaktivovať bezpečnostný softvér - najmä brány firewall - aby mohol sťahovať súbory voľne z internetu.
Keď sa Stration.C spustí, vykoná nasledujúce akcie:
1. Vytvorte nasledujúce súbory:
% Windir% \\\ smb.exe
% Windir% \\\ smb.dll
% Windir% \\\ smb.vosk
% Windir% \\\ smb.gfx
% System% \ acac.dll
% System% \ corpdpvv.exe
% System% \ d3diusp1.dll
% System% \ fldrtsd3.dll
% System% \ sisbmsxb.dll
[náhodné čísla] .tmp
2. Registračná databáza
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Run
pridáva k vášmu kľúču
“rsmb”=”%Windows%\\\smb.exe s”.
3. Pridajte do registračnej databázy nasledujúci záznam:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify \ acac
4. Registračná databáza
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows
pridáva k vášmu kľúču
“AppInit_DLLs”=”sisbmsxb.dll fldrtsd3.dll”.
5. Zastaví služby súvisiace s bezpečnostným softvérom.
6. Prevezmite a spustite súbor.
7. Zhromažďuje e -mailové adresy z adresára systému Windows a súborov s rôznymi príponami. K týmto sa sám presúva.
Predmetom infikovaných listov môžu byť:
ahoj
obrázok
Správa o serveri
postavenie
test
Dobrý deň
Chyba
systém doručovania pošty
Poštová transakcia zlyhala
Súbory s príponou .log, .elm, .msg, .txt alebo .dat môžu byť pomenované:
telo
data
do
dokumenty
dokument
rezeň
správa
readme
test
Text.