Összefoglaló
Az Ainslot.P féreg egy rendszerfrissítésre alkalmas programnak álcázza saját magát.
Leírás
Az Ainslot.P féreg egy rendszerfrissítésre alkalmas programnak álcázza saját magát. Amikor azonban ezt a felhasználó elindítja, akkor rögtön megfertőződhet a számítógépe. A kártékony program elsősorban egy hátsó kapu létesítésével okozhat károkat, amelyen keresztül egyrészt fogadja a támadók parancsait, másrészt adatokat szivárogtat ki.
Az Ainslot.P elsősorban cserélhető adathordozókon (például pendrive-okon) keresztül terjed, de esetenként hálózati megosztásokon is felütheti a fejét. A fertőzött számítógépeken azonban nem minden esetben kézenfekvő a kimutatása, ugyanis a károkozó a Jegyzettömb folyamata mögé rejtőzik el.
Az Ainslot.P arról is gondoskodik, hogy a Windows Biztonsági Központ ne jelezze azt, ha a számítógépre telepített víruskereső leáll, vagy nem indul el.
Technikai részletek:
1. Létrehozza a következő állományt:
%System%sys32systemupdate.exe
2. A regisztrációs adatbázisban módosítja az alábbi értéket:
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit=”c:windowssystem32userinit.exe,c:windowssystem32sys32systemupdate.exe”
3. Megfertőzi a notepad.exe folyamatot.
4. A regisztrációs adatbázisban manipulálja a következő bejegyzést:
HKLMSOFTWAREMicrosoftSecurity CenterAntiVirusDisableNotify=”1″
5. Kapcsolódik egy távoli kiszolgálóhoz a 1604-es TCP porton keresztül.
6. Jelenti a fertőzés megtörténtét a terjesztőinek.
7. Nyit egy hátsó kaput, és fogadja a támadók parancsait, amiket rögtön végre is hajt.
8. További ártalmas fájlokat tölt le.
9. Szerepet vállal adatszivárogtatásban.
10. Megpróbál további számítógépekre felkerülni.
Megoldás
Frissítse a vírusirtó programot!
Támadás típusa
Hijacking (Visszaélés)Information disclosure (Információ/adat szivárgás)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.isbk.hu
Gyártói referencia: www.microsoft.com