Bokill.C féreg

CH azonosító

CH-12204

Angol cím

Worm:Win32/Bokill.C

Felfedezés dátuma

2015.05.03.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A Bokill.C féreg alapvetően háromféle terjedési módszert alkalmaz. Elsőként a cserélhető adattárolókra másolja fel az állományait, majd feltérképezi a hálózati megosztásokat, és a lehetőségeihez mérten azokra is elhelyezi a nemkívánatos fájljait. Mindezek mellett elektronikus levelekben is felütheti a fejét.

A Bokill egy Windows-os rendszerfájlnak próbálja álcázni magát, amelyet több könyvtárba is bemásol. Így például az átmeneti fájlok tárolására szolgáló mappába is. Ezt követően manipulálja a regisztrációs adatbázist, és értesíti a terjesztőit a fertőzésről. Ettől kezdve a webes adatforgalomba ágyazva fogadja a támadók parancsait, és esetenként adatlopást is elősegít.

Leírás

1. Létrehozza az alábbi állományokat:
%APPDATA%tjqwvyvhcdvsvchost.exe
%TEMP%652.exe
%TEMP%svchost.exe

2. A regisztrációs adatbázishoz hozzáadja a következő értéket:
HKLMsoftwaremicrosoftwindowscurrentversionrunMicrosoft=”%APPDATA%tjqwvyvhcdvsvchost.exe”

3. Különféle folyamatokat fertőz meg, és azok mögül végzi a feladatát.

4. Ellenőrzi, hogy van-e élő internetkapcsolat.

5. Csatlakozik egy távoli kiszolgálóhoz a 80-as TCP porton keresztül.

6. Jelenti a fertőzés megtörténtét a terjesztői számára.

7. Fogadja a terjesztői által kiadott utasításokat, amelyeket rögtön végrehajt.

8. Szerepet vállal adatszivárogtatásban.

9. Megpróbál cserélhető adathordozókon, illetve hálózati megosztásokon keresztül terjedni.

10. Megpróbál elektronikus levelek révén terjedni.

Megoldás

Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához.