W32.Secrar

CH azonosító

CH-10408

Angol cím

W32.Secrar

Felfedezés dátuma

2014.01.11.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft

Összefoglaló

A W32.Secrar egy féreg, ami főleg RAR formátumú fájlokba épülve terjed.

Leírás

A RAR fájlokba építi saját kódját, így terjed egyik rendszerről a másikra. Működése során figyeli a rendszer folyamatait, ha bármilyen virtuális rendszerre utaló folyamatot tapasztal azonnal leállítja működését.

Technikai részletek:

1. Létrehozza a következő állományt:
%Windir%mssys.dll

2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows”AppInit_DLLs” = “%Windir%mssys.dll”

3. A számítógépen felkutatja az összes RAR állományt.

4. A feltárt, tömörített fájlokba egy újabb állományt szúr be a következő fájlnevek egyikének felhasználásával:
Autorun.exe
Autoruns.exe
Avast_keygen.exe
AVIRA_License.exe
CS16.exe
Keygen.exe
private.exe
Readme.exe
readme.exe
Real.exe
secret.exe
Tutorial.exe
Update.exe
Warcraft_money.exe

5. Csatlakozik egy távoli kiszolgálóhoz, amelyről frissíti a saját állományait.

6. A helyi, a cserélhető és a hálózati meghajtók mindegyikére felmásol egy autorun.inf nevű fájlt, valamint az alábbi állományok közül egyet:
Upd.exe
Update.exe
Zwr.exe

7. Leállítja a saját működését, amennyiben a következő folyamatok valamelyikét észleli:
vboxservice.exe
vboxtray.exe
vmsrvc.exe
vmusrvc.exe
vmwaretray.exe
vmwareuser.exe
xenservice.exe

Megoldás

Használjon naprakész víruskereső, és irtó szoftvereket

Hivatkozások

Egyéb referencia: www.symantec.com

Egyéb referencia: www.microsoft.com