Trojan guidato dal sito web

La funzione principale del worm Remadworm è quella di fornire varie informazioni riservate sui computer infetti a server remoti.

Il worm Remadworm si diffonde principalmente attraverso dispositivi di archiviazione rimovibili. Modificando il registro, il worm si assicura che venga caricato automaticamente ogni volta che si riavvia Windows. Quindi avvia il download di pagine Web predefinite utilizzando Internet Explorer, quindi apre una backdoor basata sulle informazioni nella barra del titolo. Attraverso questo, cerca di inviare quanti più dati riservati possibile ai server remoti.

Quando il worm Remadworm si avvia, esegue le seguenti azioni:

1. Creare i seguenti file:
C: \ WINDOWS \ System32 \ driver.exe
C: \ WINDOWS \ wuaucll.exe
D: \ DRIVER.EXE
D: \ autorun.inf
E: \ DRIVER.EXE
E: \ autorun.inf
F: \ DRIVER.EXE
F: \ autorun.inf

2. Modificare le seguenti chiavi di registro:
HKEY_CLASSES_ROOT\exefile\shell\open\command”(Default)” = “wuaucll.exe “%1″ %*”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"Shell" = "Explorer.exe wuaucll.exe"

3. Crea una finestra "nascosta".

4. Se rilevi una versione cinese del database di registrazione, chiudilo.

5. Arresta i seguenti servizi (se sono in esecuzione):
rsravmon
alg

6. Si connette a un sito Web predefinito a intervalli regolari.

7. Aprire una backdoor attraverso la quale si inviano informazioni riservate a un server remoto.