Verme che disarma il software di sicurezza

Stration.C è un worm basato sulla posta elettronica che scarica file dannosi da Internet e disabilita il software di sicurezza.

Il worm Stration.C raccoglie gli indirizzi e-mail necessari per la sua diffusione dalla rubrica di Windows e da file con estensioni diverse sui computer infetti. Il worm crea una serie di file e modifica il registro. Quindi tenta di disabilitare il software di sicurezza, in particolare i firewall, per poter scaricare file liberamente da Internet.

Quando Stration.C si avvia, esegue le seguenti azioni:

1. Creare i seguenti file:
% Windir% \\\ smb.exe
% Windir% \\\ smb.dll
% Windir% \\\ smb.wax
% Windir% \\\ smb.gfx
% System% \ acac.dll
% System% \ corpdpvv.exe
% System% \ d3diusp1.dll
% System% \ fldrtsd3.dll
% System% \ sisbmsxb.dll
[numeri casuali] .tmp

2. Il database di registrazione
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Run
aggiunge alla tua chiave
“rsmb”="%Windows%\\\smb.exe s".

3. Aggiungere la seguente voce al database di registrazione:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify \ acac

4. Il database di registrazione
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows
aggiunge alla tua chiave
“AppInit_DLLs”=”sisbmsxb.dll fldrtsd3.dll”.

5. Arresta i servizi associati al software di sicurezza.

6. Scarica e avvia un file.

7. Raccoglie indirizzi e-mail dalla rubrica di Windows e file con estensioni diverse. Si inoltra a questi.

Il soggetto delle foglie infette può essere:
Ciao
immagine
Rapporto server
Stato dei servizi
test
Buona Giornata
Errore
Sistema di consegna della posta
Transazione di posta non riuscita

I file con estensione .log, .elm, .msg, .txt o .dat possono essere denominati:
stile di vita
dati
do
docs
documento
filetto
messaggio
readme
test
testo.