Összefoglaló
A Wortik Trójai típusú káros kód kéretlen leveleket küld a fertőzött számítógépről.
Leírás
A káros kódot a Trik v2.5 program tölti le a számítógépre.
Aktiválódás után a trójai létrehozza a %Windir%M-505045024322940506830284960384065 mappát.
Létrehozza az alábbi állományokat:
- %Temp%culnlucdmb.bat
- %Windir%M-505045024322940506830284960384065winsvc.exe
Létrehozza az alábbi regisztrációs bejegyzéseket, hogy a program automatikus indulhasson:
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”Microsoft Windows Service” = “%Windir%M-505045024322940506830284960384065winsvc.exe”
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”Microsoft Windows Service” = “%Windir%M-505045024322940506830284960384065winsvc.exe”
- HKEY_USERSS-1-5-21-2445195769-2503366633-525057035-500SoftwareMicrosoftWindowsCurrentVersionRun”Microsoft Windows Service” = “%Windir%M-505045024322940506830284960384065winsvc.exe”
A káros kód az alábbi tevékenységeket végzi:
- Kéretlen leveleket küld, mely a JS.Downloader kártevőt tartalmazza.
- FTP és SMTP szerverek ellen szolgáltatásmegtagadásos támadást hajt végre.
Megoldás
Használjon naprakész vírusírtó szoftvert.
Hivatkozások
Egyéb referencia: www.symantec.com