Червь, обезвреживающий защитное ПО
Stration.C — это почтовый червь, который загружает вредоносные файлы из Интернета и отключает защитное программное обеспечение.
Червь Stration.C собирает адреса электронной почты, необходимые для его распространения, из адресной книги Windows и из файлов с различными расширениями на зараженных компьютерах. Червь создает ряд файлов и изменяет реестр. Затем он пытается отключить защитное программное обеспечение (в основном брандмауэры), чтобы иметь возможность свободно загружать файлы из Интернета.
Когда Stration.C запускается, он делает следующее:
1. Создайте следующие файлы:
%Windir%\\\smb.exe
%Windir%\\\smb.dll
%Windir%\\\smb.wax
%Windir%\\\smb.gfx
%System%\acac.dll
%System%\corpdpvv.exe
%System%\d3diusp1.dll
%System%\fldrtsd3.dll
%System%\sisbmsxb.dll
[случайные числа].tmp
2. Регистрационная база данных
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Run
добавляет к твоему ключу
«rsmb» = «%Windows%\\\smb.exe s».
3. Добавьте следующую запись в базу данных регистрации:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\acac
4. Регистрационная база данных
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows
добавляет к твоему ключу
«AppInit_DLLs» = «sisbmsxb.dll fldrtsd3.dll».
5. Останавливает службы, связанные с программным обеспечением безопасности.
6. Скачивает и запускает файл.
7. Собирает адреса электронной почты из адресной книги Windows и файлов с разными расширениями. Он направляет себя к ним.
Предметом заражения листьев могут быть:
Здравствуйте
картина
Отчет по серверу
Статус:
тестXNUMX
Добрый день
Ошибка
Система доставки почты
Почтовая транзакция не удалась
Файлы с расширениями .log, .elm, .msg, .txt или .dat, принадлежащие вложениям зараженных писем, могут быть названы:
тело
данным
do
Документы
документ
файл
сообщение
ридми
тестXNUMX
текст.