Virus: W32.Surubat.A ataca prin backdoor!
Worm-ul Surubat.A se raspandeste in doua moduri: prin e-mail, prin trimiterea unei copii a wormului la toate adresele din address book, si prin fisierele partajate prin retea.
Cel mai mare pericol este backdoor-ul deschis de Surubat.A pe portul TCP 6667, prin care persoanele malefice pot incarca sau descarca fisiere, rula programe sau deschiderea si folosirea unei ferestre command line.
Cand porneste, Surubat.A face urmatoarele lucruri:
1. Creaza fisierele de mai jos:
%ProgramFiles%\MICROSOFT OFFICE\OFFICE\MSOHEV.EXE
%SystemDrive%\PETA_INSTALASI_NUKLIR_ISRAEL.EXE
%Windir%\DATABASE.TXT
%Windir%\Restore\scvhost.exe
%Windir%\Restore\systems.exe
%Windir%\Restore\winamps.exe
%Windir%\Restore\winzip.exe
%Windir%\documents.exe
%Windir%\mmsgs\systema.exe
%Windir%\safemode.exe
%Windir%\taskmanager.exe
2. Schimba denumirea fisierului %System%\MSVBVM60.DLL la “_MSVBVM60.DLL”
3. Isi copiaza fisierele pe toate partajarile de retea disponibile
4. Introduce in registry urmatoarele valori:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ “Update” = %Windir%\Restore\systems.exe”
HKEY_CURRENT_USER\Identities\[UNIQUE CURRENT USER SUBKEY]\Software\Microsoft\Outlook Express\5.0\Mail\”Warn on Mapi Send” = “0″
si modifica valoarea HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\s rservice\”ImagePath” = “%Windir%\Restore\scvhost.exe”
5. Aduna adrese de e-mail de pe calculatorul infectat, pe care trimite mesaje care pot avea subiectul “System Administrator, This is out report of naked isue” si un fisier atasat denumit “Peta_Instalasi_Nuklir_Israel.zip”
6. Deschide un backdoor pe portul TCP 6667, prin care asteapta comenzi
7. Apare o fereastra, cu titlul “winzip” si cu mesajul “You Have Done Something Which Can Harm Your System
To Prevent From Damage, System Has Been Restart”
