Файлы RAR заражены червем Tigape
Tigape, который распространяется через электронную почту. Червь в первую очередь пытается спрятаться за файлами RAR и обезвреживает программное обеспечение безопасности зараженных компьютеров.
Tigape.A червь распространяется в основном через электронную почту. Необходимые адреса электронной почты собираются из адресной книги Windows. Червь создает ряд файлов на доступных локальных и сетевых дисках и большую часть времени маскируется под файлы .rar.
Самая большая угроза для червя Tigape.A заключается в том, что он отключает программное обеспечение безопасности, работающее на зараженных компьютерах, включая антивирусные приложения и брандмауэры. Червь не щадит встроенный брандмауэр Windows, потому что он также пытается отключить его, изменяя реестр.
При запуске червь Tigape.A выполняет следующие действия:
1. Создайте файл следующим образом:
% System% \ wservice.exe
2. Копирует себя на все доступные локальные и сетевые диски. Червь использует расширение «.t» и имя файла, состоящее из восьми символов.
3. Создайте файл rar с именами файлов из семи случайно сгенерированных символов на каждом доступном локальном или сетевом диске.
4. Создайте следующий файл:
% CurrentFolder% \ [семь случайных символов] .exe
5. Регистрационная база данных
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Run
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Run
добавляет к вашим ключам
«UpdateService» = значение «%System%\wservice.exe…».
6. Регистрационная база данных
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ S haredAccess
добавляет к твоему ключу
«Старт» = значение «4».
Это отключает встроенный брандмауэр Windows.
7. Соберите адреса электронной почты из адресной книги Windows и отправьте их им.
Предметом заражения листьев могут быть:
Новости Белого дома!
УРГ
ВНИМАНИЕ ВСЕМ!
ПРОЧИТАЙТЕ И ОТПРАВЛЯЙТЕ ПОВТОРНО!
Невероятные новости!
НОВОСТИ!
ATTN
СРОЧНЫЕ НОВОСТИ!
К прикрепленным электронным письмам может быть прикреплен один из следующих файлов:
open.exe
truth.exe
war.exe
последний.exe
о me.exe
a.exe
никогда.exe
последние новости.exe
прочитай меня. exe
8. Останавливает процессы, связанные с программным обеспечением безопасности.