http://biztonsagportal.hu/esz-nelkul-fertozi-a-pc-ket-a-wapomi-fereg.html

írja a biztonsagportal.hu

A Wapomi féreg legújabb variánsa nagyon sok fertőzött fájlt eredményez a rendszereken, miközben azokon előkészíti a terepet más károkozók számára.

A Wapomi féreg "D" betűjelű variánsa nem vár sokat azzal, hogy térdre kényszerítse az általa kiválasztott rendszereket, ugyanis rögtön nekilát a terjeszkedésnek. Mielőtt azonban végigfertőzne egy számítógépet, néhány előkészítő jellegű feladatot végez el, aminek során manipulálja a Windows beállításait.

Megpróbálja elérni, hogy az antivírus alkalmazások ne töltődhessenek be, illetve arról is gondoskodik, hogy az operációs rendszert ne lehessen csökkentett módban elindítani. Ezzel pedig bizonyos mértékig képes megnehezíteni az eltávolítását. Ugyanakkor meg kell jegyezni, hogy a féreg irtása amúgy sem lenne könnyű feladat, ugyanis a rendszereken - néhány népszerűbb alkalmazáshoz tartozó állomány kivételével - minden exe kiterjesztésű fájlt manipulál. Ezért a megelőzés rendkívül fontos.

Az Isidor Biztonság Központ jelentése kitér arra, hogy a Wapomi féreg a futtatható fájlok mellett a webes állományokat sem hagyja érintetlenül. Így például ASPX és HTML kódokat is megváltoztat, illetve kiegészít. Emellett kibővíti a Windows hosts állományát, amelynek révén egyes webszerverek, weboldalak elérését befolyásolja az áldozatául esett PC-kről.

A Wapomi féreg további fontos jellemzője, hogy a fertőzött számítógépekhez csatlakoztatott cserélhető meghajtókra is felmásolja magát, és megpróbálja kihasználni a Windows Autorun funkcióját.

Amikor a Wapomi.D féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományt:
%SystemDrive%\[véletlenszerű karakterek].sys

2. Létrehoz egy véletlenszerű névvel ellátott Windows-os szolgáltatást.

3. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[véletlenszerű karakterek]

4. A regisztrációs adatbázis következő kulcsához új bejegyzéseket fűz hozzá annak érdekében, hogy antivírus alkalmazásokat blokkoljon:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

5. A regisztrációs adatbázisból kitörli az alábbi kulcsot:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

Ezzel megakadályozza a Windows csökkentett módban történő elindítását.

6. A regisztrációs adatbázisban módosítja a következő értékeket:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppMgmt\"Start" = "3"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\SW\{eec12db6-ad9c-4168-8658-b03daef417fe}\{ABD61E00-9350-47e2-A632-4438B90C6641}\"Service" = "drmkaud"

7. Különböző szolgáltatások futását ellenőrzi, amelyekhez tartozó fájlokat felülír.

8. Manipulálja a Windows hosts állományát.

9. Az alábbi alkalmazásokhoz, illetve mappákhoz tartozó fájlok kivételével, minden exe kiterjesztésű állományt megfertőz:
Common Files
ComPlus Applications
Documents and Settings
InstallShield Installation Information
Internet Explorer
Messenger
microsoft frontpage
Movie Maker
MSN Gaming Zone
NetMeeting
Outlook Express
RECYCLER
System Volume Information
Thunder
Thunder Network
WINDOWS
Windows Media Player
Windows NT
WindowsUpdate
WinNT
WinRAR

10. Felkutatja a .rar kiterjesztésű fájlokat, és azokban esetlegesen meglévő EXE-állományokat fertőz meg.

11. Manipulálja az alábbi kiterjesztésekkel rendelkező webes fájlokat:
.asp
.aspx
.htm
.html

12. Minden cserélhető meghajtóra felmásolja a következő állományokat:
%meghajtó betűjele%\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\setup.exe
%meghajtó betűjele%\autorun.inf