RAR datoteke zaražene su crvom Tigape
Tigape, koji se širi e-poštom, crv se prvenstveno pokušava sakriti iza RAR datoteka i razoružati sigurnosni softver zaraženih računala.
Tigape.Crv se širi prvenstveno e-poštom. Potrebne adrese e-pošte prikupljaju se iz Windows adresara. Crv stvara brojne datoteke na dostupnim lokalnim i mrežnim pogonima i većinu se vremena maskira u .rar datoteke.
Najveća prijetnja crvu Tigape.A je što onemogućava sigurnosni softver koji se izvodi na zaraženim računalima, uključujući antivirusne aplikacije i vatrozid. Crv ne štedi ugrađeni vatrozid sustava Windows jer ga također pokušava isključiti izmjenom registra.
Kada se crv Tigape.A pokrene, on izvršava sljedeće radnje:
1. Stvorite datoteku na sljedeći način:
% Sustav% \ wservice.exe
2. Kopira se na sve dostupne lokalne i mrežne pogone. Crv koristi ekstenziju “.t” i naziv datoteke od osam znakova.
3. Stvorite rar datoteku s imenima datoteka od sedam nasumično generiranih znakova na svakom dostupnom lokalnom ili mrežnom pogonu.
4. Stvorite sljedeću datoteku:
% CurrentFolder% \ [sedam slučajnih znakova] .exe
5. Baza podataka o registraciji
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Run
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Run
dodaje vašim ključevima
Vrijednost “UpdateService” = “%System%\wservice.exe…”.
6. Baza podataka o registraciji
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ S haredAccess
dodaje vašem ključu
“Početak” = vrijednost “4”.
Ovo onemogućava ugrađeni Windows vatrozid.
7. Prikupite adrese e-pošte iz Windows adresara i proslijedite ih njima.
Predmet zaraženih listova može biti:
Vijesti iz Bijele kuće!
URG
PAŽNJA SVIMA!
ČITAJTE I PONOVNO ŠALJITE!
Nevjerojatne vijesti!
VIJESTI!
ATTN
HITNE VIJESTI!
Priložene adrese e-pošte mogu sadržavati jednu od sljedećih datoteka:
otvoriti.exe
istina.exe
rata.exe
zadnji.exe
o meni.exe
a.exe
nikad.exe
najnovije vijesti.exe
pročitajte me.exe
8. Zaustavlja procese povezane sa sigurnosnim softverom.
