Crv koji deaktivira sigurnosni softver

Stration.C je crv temeljen na e-pošti koji preuzima zlonamjerne datoteke s Interneta i onemogućuje sigurnosni softver.

Crv Stration.C prikuplja adrese e-pošte potrebne za njegovo širenje iz Windows adresara i iz datoteka s različitim nastavcima na zaraženim računalima. Crv stvara brojne datoteke i modificira registar. Zatim pokušava onemogućiti sigurnosni softver - posebno vatrozid - kako bi mogao slobodno preuzimati datoteke s Interneta.

Kada se Stration.C pokrene, izvršava sljedeće radnje:

1. Stvorite sljedeće datoteke:
% Windir% \\\ smb.exe
% Windir% \\\ smb.dll
% Windir% \\\ smb.wax
% Windir% \\\ smb.gfx
% Sustav% \ acac.dll
% Sustav% \ corpdpvv.exe
% Sustav% \ d3diusp1.dll
% Sustav% \ fldrtsd3.dll
% Sustav% \ sisbmsxb.dll
[slučajni brojevi] .tmp

2. Baza podataka o registraciji
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Run
dodaje vašem ključu
“rsmb”=”%Windows%\\\smb.exe s”.

3. Dodajte sljedeći unos u bazu podataka o registraciji:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify \ acac

4. Baza podataka o registraciji
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows
dodaje vašem ključu
“AppInit_DLLs”=”sisbmsxb.dll fldrtsd3.dll”.

5. Zaustavlja usluge povezane sa sigurnosnim softverom.

6. Preuzmite i pokrenite datoteku.

7. Prikuplja adrese e-pošte iz Windows adresara i datoteke s različitim nastavcima. Prosljeđuje se ovima.

Predmet zaraženih listova može biti:
halo
slika
Izvješće poslužitelja
status
test
Dobar dan
greška
Sustav dostave pošte
Transakcija putem pošte nije uspjela

Datoteke s nastavcima datoteka .log, .elm, .msg, .txt ili .dat mogu se imenovati:
tijelo
datum
do
docs
dokument
file
poruka
obavijesna
test
Tekst.