Červ, ktorý odzbrojuje bezpečnostný softvér

Stration.C je červ založený na e-mailoch, ktorý sťahuje škodlivé súbory z internetu a deaktivuje bezpečnostný softvér.

Červ Stration.C zhromažďuje e-mailové adresy potrebné na jeho šírenie z adresára systému Windows a zo súborov s rôznymi príponami v infikovaných počítačoch. Červ vytvára množstvo súborov a upravuje register. Potom sa pokúsi deaktivovať bezpečnostný softvér - najmä brány firewall - aby mohol sťahovať súbory voľne z internetu.

Keď sa Stration.C spustí, vykoná nasledujúce akcie:

1. Vytvorte nasledujúce súbory:
% Windir% \\\ smb.exe
% Windir% \\\ smb.dll
% Windir% \\\ smb.vosk
% Windir% \\\ smb.gfx
% System% \ acac.dll
% System% \ corpdpvv.exe
% System% \ d3diusp1.dll
% System% \ fldrtsd3.dll
% System% \ sisbmsxb.dll
[náhodné čísla] .tmp

2. Registračná databáza
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Run
pridáva k vášmu kľúču
“rsmb”=”%Windows%\\\smb.exe s”.

3. Pridajte do registračnej databázy nasledujúci záznam:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify \ acac

4. Registračná databáza
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows
pridáva k vášmu kľúču
“AppInit_DLLs”=”sisbmsxb.dll fldrtsd3.dll”.

5. Zastaví služby súvisiace s bezpečnostným softvérom.

6. Prevezmite a spustite súbor.

7. Zhromažďuje e -mailové adresy z adresára systému Windows a súborov s rôznymi príponami. K týmto sa sám presúva.

Predmetom infikovaných listov môžu byť:
ahoj
obrázok
Správa o serveri
postavenie
test
Dobrý deň
Chyba
systém doručovania pošty
Poštová transakcia zlyhala

Súbory s príponou .log, .elm, .msg, .txt alebo .dat môžu byť pomenované:
telo
data
do
dokumenty
dokument
rezeň
správa
readme
test
Text.