Açıklama |
Ana bilgisayar sistemini enfekte ederken:
- Kötü amaçlı yazılım ilk kez çalıştırıldığında, arama yapar.
% system32% wmicuclt.exe ve% system32% wscript.exe
. Bulunduğunda, orijinal dosyalara son dosya bölümüne kötü amaçlı yazılım ekleyerek bulaşır (aşağıdaki enfeksiyon yöntemine bakın);
- Altında "Uzaktan Erişim Bağlantı Hizmeti" servisini yaratır
HKLMSystemControlSetServices (yanı sıra diğer ControlSets).
"ImagePath" dizesi,% system32% wmicuclt.exe dosyasında virüslü dosyaya işaret eder;
- HKLMSystemSelect altında yeni bir değer oluşturur. Değer adı "rtm" veya "v" olabilir. HKLMSystemSelect, önyükleme bilgilerini depolamak için Windows işletim sistemi tarafından kullanılır. İşletim sistemi yüklenirken, OS yükleyicisi Güncel / Varsayılan / başarısız / LastKnownGood önyükleme yapılandırmasını okur. Kötü amaçlı yazılım, kendisini depolamak için kayıt defteri anahtarını veya bu konuma virüslere özgü verileri kullanır;
- Içine kod enjekte
SVCHOST.EXE, LSASS.EXE
- Aşağıdaki klasörleri etkilemekten kaçınıyor:
"Windows", "winnt", "s", "qq", "Outlook", "Sistem Hacim Bilgileri", "Recycler", "InternetExplorer", "Messenger", "Ortak dosyalar"
- Ana sisteme yüklenmişse WOW64, SQSh, Srh erişim parametrelerini arar;
- Uzak bir oturum algılanırsa (etkilenen ana bilgisayara), Windows İstemcisi komutunu " tsclient $ c" çalıştırarak uzak sürücüye erişmeye çalışır ve * .exe dosyalarını enfekte eder. Sonuç olarak, bağlanan ana bilgisayar da bulaşacaktır;
- Uzak ana bilgisayardaki dosyaları temizler
”Yönetici $” system32wmicuclt.exe, ”Yönetici $” system32wscript.exe
- Remotehostipc $ aracılığıyla uzaktan sürücüleri eşleştirin
Uzak URL:
- Solucan, bir web sitesi adındaki "ppift", "ppns" alt dizelerini içeren URL'lere bağlanabilir;
Dosyalara bulaştığında, aşağıdakileri yapar:
- Virüs bulaşan bilgisayarda paylaşılan klasörleri arar ve bulduğu tüm .exe dosyalarına bulaşır;
- Paylaşılan bir klasöre erişim, kullanıcı kimlik bilgileri gerektiriyorsa, zorlu kullanıcı hesaplarını ve şifrelerini zorlamaya çalışır. Bunlar sadece birkaç değişken:
“Admin" / "678", "admin" / "1qaz2wsx", "kullanıcı" / "1", "test" / "1", "Test" / "321"
ve hesaplar veya şifreler gibi diğer basit şifre kombinasyonları
"1234", "56", "qwert", "letmein", "gizli", "rockyou", "iloveyou", "kök", "süper", "prenses", "alfa", "Patrick", "temp", "P @ r0la"
. ve diğer birçok vızıltı kelimesi;
- Bir dosyaya bulaştığında, kendisini özgün ana bilgisayar dosyasının sonuna, dosyanın son bölümüne ekler. Dosya başlığını, dosyanın başlangıcından 0x28h ofsetinde "PPIF" anahtar sözcüğünü yazarak değiştirir;
- Yeni dosya, orijinalden daha büyük 47,872 bayttır.
AV uygulamalarını nasıl devre dışı bırakır?
- Virüs bulaşan ana bilgisayarda yürütüldüğünde, süreç isminde aşağıdaki kelimelerle süreçleri arar:
"F-Secure", "IKARUS-GuardX", "360sd", "360Tray", "WP", "ShStatEx", "Sophos AutoUpdate Monitor", "AVP", "AVG_TRAY", "egui", "G Data Antivirus", "BitDefender AntiVirus","Trende Mikro İstemci Çerçevesi", "kxesc", "avgnt", "RAvTray", "DWIN";
- Bulduğunda, bir kayıt defteri girdisini arayacak, silecek ve sistemi hemen yeniden başlatacaktır. Yeniden başlatma işleminden sonra, sistem servis girişi olmadığından AV ürününü başlatamaz.
|