RAR-filer inficeres af Tigape-ormen
Tigape, der spreder sig via e-mails. Ormen forsøger primært at gemme sig bag RAR-filer og afvæbner sikkerhedssoftwaren på inficerede computere.
Tigape.En orm spredes primært gennem e-mails. De krævede e-mail-adresser indsamles fra Windows-adressebogen. Ormen opretter et antal filer på tilgængelige lokale og netværksdrev og forklæder sig i de fleste tilfælde som filer med en .rar-udvidelse.
Den største trussel mod Tigape.A-ormen er, at den deaktiverer sikkerhedssoftware, der kører på inficerede computere, herunder antivirusprogrammer og firewalls. Ormen skåner ikke Windows 'indbyggede firewall, fordi den også forsøger at slukke den ved at ændre registreringsdatabasen.
Når Tigape.A-ormen starter, udfører den følgende handlinger:
1. Opret en fil som følger:
% System% \ wservice.exe
2. Kopier sig selv til hvert tilgængeligt lokalt eller netværksdrev. Ormen bruger filtypenavnet “.t” og et filnavn på otte tegn.
3. Opret en rar -fil med filnavne på syv tilfældigt genererede tegn på hvert tilgængeligt lokalt eller netværksdrev.
4. Opret følgende fil:
% CurrentFolder% \ [syv tilfældige tegn] .exe
5. Registreringsdatabasen
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Run
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Run
tilføjer til dine nøgler
“UpdateService” = “% System% \ wservice.exe…”.
6. Registreringsdatabasen
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ S haredAccess
føjer til din nøgle
“Start” = “4” værdi.
Dette deaktiverer den indbyggede Windows Firewall.
7. Saml e-mail-adresser fra Windows adressebog og videresend dem til dem.
Emnet for inficerede blade kan være:
Hvide hus nyheder!
URG
FORSIGTIG TIL ALLE!
LÆS OG FORSEND ASAP!
Utrolige nyheder!
NYHEDER!
ATTN
HASTNINGSNYHEDER!
Vedhæftede e-mails kan have en af følgende filer vedhæftet:
open.exe
truth.exe
war.exe
last.exe
om mig.exe
a.exe
never.exe
seneste news.exe
læs mig.exe
8. Stopper de processer, der er forbundet med sikkerhedssoftwaren.
