Összefoglaló
A W32.Secrar egy féreg, ami főleg RAR formátumú fájlokba épülve terjed.
Leírás
A RAR fájlokba építi saját kódját, így terjed egyik rendszerről a másikra. Működése során figyeli a rendszer folyamatait, ha bármilyen virtuális rendszerre utaló folyamatot tapasztal azonnal leállítja működését.
Technikai részletek:
1. Létrehozza a következő állományt:
%Windir%mssys.dll
2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows”AppInit_DLLs” = “%Windir%mssys.dll”
3. A számítógépen felkutatja az összes RAR állományt.
4. A feltárt, tömörített fájlokba egy újabb állományt szúr be a következő fájlnevek egyikének felhasználásával:
Autorun.exe
Autoruns.exe
Avast_keygen.exe
AVIRA_License.exe
CS16.exe
Keygen.exe
private.exe
Readme.exe
readme.exe
Real.exe
secret.exe
Tutorial.exe
Update.exe
Warcraft_money.exe
5. Csatlakozik egy távoli kiszolgálóhoz, amelyről frissíti a saját állományait.
6. A helyi, a cserélhető és a hálózati meghajtók mindegyikére felmásol egy autorun.inf nevű fájlt, valamint az alábbi állományok közül egyet:
Upd.exe
Update.exe
Zwr.exe
7. Leállítja a saját működését, amennyiben a következő folyamatok valamelyikét észleli:
vboxservice.exe
vboxtray.exe
vmsrvc.exe
vmusrvc.exe
vmwaretray.exe
vmwareuser.exe
xenservice.exe
Megoldás
Használjon naprakész víruskereső, és irtó szoftvereket