Червь, обезвреживающий защитное ПО

Stration.C — это почтовый червь, который загружает вредоносные файлы из Интернета и отключает защитное программное обеспечение.

Червь Stration.C собирает адреса электронной почты, необходимые для его распространения, из адресной книги Windows и из файлов с различными расширениями на зараженных компьютерах. Червь создает ряд файлов и изменяет реестр. Затем он пытается отключить защитное программное обеспечение (в основном брандмауэры), чтобы иметь возможность свободно загружать файлы из Интернета.

Когда Stration.C запускается, он делает следующее:

1. Создайте следующие файлы:
%Windir%\\\smb.exe
%Windir%\\\smb.dll
%Windir%\\\smb.wax
%Windir%\\\smb.gfx
%System%\acac.dll
%System%\corpdpvv.exe
%System%\d3diusp1.dll
%System%\fldrtsd3.dll
%System%\sisbmsxb.dll
[случайные числа].tmp

2. Регистрационная база данных
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Run
добавляет к твоему ключу
«rsmb» = «%Windows%\\\smb.exe s».

3. Добавьте следующую запись в базу данных регистрации:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\acac

4. Регистрационная база данных
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows
добавляет к твоему ключу
«AppInit_DLLs» = «sisbmsxb.dll fldrtsd3.dll».

5. Останавливает службы, связанные с программным обеспечением безопасности.

6. Скачивает и запускает файл.

7. Собирает адреса электронной почты из адресной книги Windows и файлов с разными расширениями. Он направляет себя к ним.

Предметом заражения листьев могут быть:
Здравствуйте
картина
Отчет по серверу
Статус:
тестXNUMX
Добрый день
Ошибка
Система доставки почты
Почтовая транзакция не удалась

Файлы с расширениями .log, .elm, .msg, .txt или .dat, принадлежащие вложениям зараженных писем, могут быть названы:
тело
данным
do
Документы
документ
файл
сообщение
ридми
тестXNUMX
текст.