Viermele Relfeer se raspandeste prin file sharing

7th May 2007 In categoria Virus!

Viermele W32.Relfeer se raspandeste prin retele locale sau retele de file sharing (DC++, etc.). Metoda sa de raspandire este sa creeze fisiere executabile in directoarele partajate, cu denumiri inselatoare.

Viermele, odata activat, creaza mai multe fisiere pe calculatorul infectat, dupa care modifica diverse insemnari in registry. Dupa aceste actiuni, descarca de pe diverse adrese web si ftp fisiere malitioase.

La activare, W32.Relfeer face urmatoarele operatiuni:

1. Creaza urmatoarele fisiere:

%Temp%\PrgStart\[a féreghez tartozó fájl neve].ppt
C:\WINDOWS\reloc32.exe
C:\WINDOWS\system32\updates.exe
C:\WINDOWS\system32\wandrv.exe
C:\WINDOWS\system32\WAN_DR.ULD
C:\WINDOWS\svhst32.exe
%Temp%\config_.exe
%Temp%\sysutil.exe
%Start Menu%\Programs\Startup\[WORM FILE NAME].exe

2. Se copiaza in directoarele partajate pentru retele de file sharing

3. Modifica urmatoarele insemnari in registry:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\RunServices\”Memory relocation service” = “C:\WINDOWS\reloc32.exe -rs”
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentV ersion\RunOnce\”Install part II” = “C:\WINDOWS\system32\updates.exe -o”
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentV ersion\Run\”Microsoft Server Process” = “C:\WINDOWS\svhst32.exe -a”

4. Cauta conexiune activa la internet

5. Descarca fisiere de la diverse adrese web

6. Descarca fisiere de la diverse servere FTP

(HardwareOC)

Acum un an...

Articol creat Monday, 7th May 2007 la ora 11:09 am in categoria Virus!. Te poti abona la raspunsuri prin RSS 2.0. Poti raspunde daca vrei.

Leave a Reply

Ghelir.ro