Worm.Win32.Fipp

Ana bilgisayar sistemini enfekte ederken:

• Kötü amaçlı yazılım ilk kez çalıştırıldığında, arama yapar.

   % system32% wmicuclt.exe ve% system32% wscript.exe 

  . Bulunduğunda, orijinal dosyalara son dosya bölümüne kötü amaçlı yazılım ekleyerek bulaşır (aşağıdaki enfeksiyon yöntemine bakın);

• Altında "Uzaktan Erişim Bağlantı Hizmeti" servisini yaratır

  HKLMSystemControlSetServices (yanı sıra diğer ControlSets). 

  "ImagePath" dizesi,% system32% wmicuclt.exe dosyasında virüslü dosyaya işaret eder;

• HKLMSystemSelect altında yeni bir değer oluşturur. Değer adı "rtm" veya "v" olabilir. HKLMSystemSelect, önyükleme bilgilerini depolamak için Windows işletim sistemi tarafından kullanılır. İşletim sistemi yüklenirken, OS yükleyicisi Güncel / Varsayılan / başarısız / LastKnownGood önyükleme yapılandırmasını okur. Kötü amaçlı yazılım, kendisini depolamak için kayıt defteri anahtarını veya bu konuma virüslere özgü verileri kullanır;
• Içine kod enjekte

   SVCHOST.EXE, LSASS.EXE 

• Aşağıdaki klasörleri etkilemekten kaçınıyor:

   "Windows", "winnt", "s", "qq", "Outlook", "Sistem Hacim Bilgileri", "Recycler", "InternetExplorer", "Messenger", "Ortak dosyalar" 

• Ana sisteme yüklenmişse WOW64, SQSh, Srh erişim parametrelerini arar;
• Uzak bir oturum algılanırsa (etkilenen ana bilgisayara), Windows İstemcisi komutunu " tsclient $ c" çalıştırarak uzak sürücüye erişmeye çalışır ve * .exe dosyalarını enfekte eder. Sonuç olarak, bağlanan ana bilgisayar da bulaşacaktır;
• Uzak ana bilgisayardaki dosyaları temizler

  ”Yönetici $” system32wmicuclt.exe, ”Yönetici $” system32wscript.exe

• Remotehostipc $ aracılığıyla uzaktan sürücüleri eşleştirin

Uzak URL:

• Solucan, bir web sitesi adındaki "ppift", "ppns" alt dizelerini içeren URL'lere bağlanabilir;

Dosyalara bulaştığında, aşağıdakileri yapar:

• Virüs bulaşan bilgisayarda paylaşılan klasörleri arar ve bulduğu tüm .exe dosyalarına bulaşır;
• Paylaşılan bir klasöre erişim, kullanıcı kimlik bilgileri gerektiriyorsa, zorlu kullanıcı hesaplarını ve şifrelerini zorlamaya çalışır. Bunlar sadece birkaç değişken:

   “Admin" / "678", "admin" / "1qaz2wsx", "kullanıcı" / "1", "test" / "1", "Test" / "321" 

  ve hesaplar veya şifreler gibi diğer basit şifre kombinasyonları

   "1234", "56", "qwert", "letmein", "gizli", "rockyou", "iloveyou", "kök", "süper", "prenses", "alfa", "Patrick", "temp", "P @ r0la" 

  . ve diğer birçok vızıltı kelimesi;

• Bir dosyaya bulaştığında, kendisini özgün ana bilgisayar dosyasının sonuna, dosyanın son bölümüne ekler. Dosya başlığını, dosyanın başlangıcından 0x28h ofsetinde "PPIF" anahtar sözcüğünü yazarak değiştirir;
• Yeni dosya, orijinalden daha büyük 47,872 bayttır.

AV uygulamalarını nasıl devre dışı bırakır?

• Virüs bulaşan ana bilgisayarda yürütüldüğünde, süreç isminde aşağıdaki kelimelerle süreçleri arar:

   "F-Secure", "IKARUS-GuardX", "360sd", "360Tray", "WP", "ShStatEx", "Sophos AutoUpdate Monitor", "AVP", "AVG_TRAY", "egui", "G Data Antivirus", "BitDefender AntiVirus","Trende Mikro İstemci Çerçevesi", "kxesc", "avgnt", "RAvTray", "DWIN"; 

• Bulduğunda, bir kayıt defteri girdisini arayacak, silecek ve sistemi hemen yeniden başlatacaktır. Yeniden başlatma işleminden sonra, sistem servis girişi olmadığından AV ürününü başlatamaz.