Ďalší škodca - Kernelbot.A

Červ na svoju distribúciu využíva chybu, ktorá bola Microsoftom detekovaná a 23. októbra bola vydaná zaplátaná. Otázka je, či už máte stiahnuté posledné aktualizácie.

S klonovaním samého seba sa  jeho činnosť z ďaleka nekončí. Ak sa na napadnutom počítači nenachádza P2P program, je schopný automaticky nainštalovať softvér eMule.

Ďalej je schopný vykonať zásadné zmeny, napr. cez internet sťahuje do počítača rôzne škodlivé aplikácie. Okrem toho sa napojí na vzdialený server z ktorého môže prijímať príkazy.

Na základe nich je schopný vykonať nasledovné akcie:

• Stiahne súbory, ktoré môže spustiť
• Môže distribuovať súbory cez P2P (aj samého seba)
• Spustiť DoS útok
• Aktualizovať sa

V registroch má možnosť vykonávať zmeny, ktoré vedú okrem iného k tomu, že sa nedá jednoducho odstrániť v Safe móde.

V prípade, že útok na počítač sa podarí, vykoná Kernelbot.A nasledovné zmeny:

V registroch:

•   HKEY_LOCAL_MACHINESOFTWARE360Safesafemon"UDiskAccess" = "0"
•   HKEY_LOCAL_MACHINESOFTWARE360Safesafemon"ExecAccess" = "0"
•   HKEY_LOCAL_MACHINESOFTWARE360Safesafemon"IEProtAccess" ="0"
•   HKEY_LOCAL_MACHINESOFTWARE360Safesafemon"LeakAccess" = "0"
•   HKEY_LOCAL_MACHINESOFTWARE360Safesafemon"MonAccess" = "0"
•   HKEY_LOCAL_MACHINESOFTWARE360Safesafemon"SiteAccess" = "0" 

Vytvorí nasledovné súbory, ktoré budú skryté:

•       %System%compbatc.sys
•       %System%compbatc.zip
•       %System%compbatc.exe
•       %System%vvebc1nt.sys
•       %System%vvebc1nt.zip
•       %System%vvebc1nt.exe

Upraví registre:

• HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicescompbatc  
• HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicescompbatcDrv
• HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices

Ak bežia nasledovné procesy, tak ich zastaví:

•       safeboxtray.exe
•       360tray.exe
•       iparmor.exe
•       RSTray.exe
•       USBSAFE.exe
•       360rpt.exe

Vymaže kľúče:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun"360Safetray"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun"360Safebox"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun"360Antiarp"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun"runeip"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun"Iparmor"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootNetwork
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimal

Posledné dve zmeny spôsobia, že sa nedá spustiť safe mode. Pripojí sa k vzdialenému serveru a uploadne systémové informácie. 

•       Stiahne ďalší škodlivý kód.
•       Pomocou 67.exe sa snaží využiť chybu v správe služieb.

Vytvorí:

•       C:~$[hexadecimálny formát].rs
•       C:~$[hexadecimálny formát].js
•       C:~$[hexadecimálny formát].dl 
•       stiahne a nainštaluje eMule. 
•       Pokúsi sa cez eMule dostať do ďalších počítačov.

Nezabudnite si aktualizovať svoj antivírus, ako aj operačný systém!

d3agl3

Neprehliadnite:

• Akcie, letáky a zľavy
• Pôžičky a úvery pre všetkých
• Turistický sprievodca Budapešťou
• Turistický sprievodca Košicami
• Turistický sprievodca Londýnom
• Turistický sprievodca Prahou
• Turistický sprievodca Viedňou
• Turistický sprievodca Slovenskom

Pozrite si tiež:

«  Dublin si vybral IBM

Nano Obama  »