Datoteke RAR okuži črv Tigape
Tigape, ki se širi po e -pošti, se črv predvsem poskuša skriti za datotekami RAR in razoroži varnostno programsko opremo okuženih računalnikov.
Tigape.Črv se širi predvsem po e -pošti. Zahtevani e-poštni naslovi se zbirajo iz adresarja Windows. Črv ustvari številne datoteke na razpoložljivih lokalnih in omrežnih pogonih in se ponavadi prikrije kot datoteke .rar.
Največja grožnja črvu Tigape.A je onemogočanje varnostne programske opreme, ki se izvaja na okuženih računalnikih, vključno s protivirusnimi aplikacijami in požarnimi zidovi. Črv ne prihrani vgrajenega požarnega zidu sistema Windows, ker ga poskuša tudi izklopiti s spreminjanjem registra.
Ko se črv Tigape.A zažene, izvede naslednja dejanja:
1. Ustvarite datoteko na naslednji način:
% System% \ wservice.exe
2. Kopirajte se na vsak razpoložljiv lokalni ali omrežni pogon. Črv uporablja razširitev ».t« in osemmestno ime datoteke.
3. Na vsakem razpoložljivem lokalnem ali omrežnem pogonu ustvarite datoteko rar z imeni sedmih naključno ustvarjenih znakov.
4. Ustvarite naslednjo datoteko:
% Trenutna mapa% \ [sedem naključnih znakov] .exe
5. Registracijska baza podatkov
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Run
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Run
doda ključem
“UpdateService” = “% System% \ wservice.exe…”.
6. Registracijska baza podatkov
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ S haredAccess
doda vašemu ključu
"Start" = "4" vrednost.
To onemogoči vgrajen požarni zid Windows.
7. Zberite e -poštne naslove iz adresarja Windows in jih posredujte njim.
Predmet okuženih listov je lahko:
Novice o beli hiši!
URG
POZOR VSEM!
PREBERITE IN PONOVNO POROČITE!
Neverjetna novica!
NOVICE!
ATTN
NUJNE NOVICE!
Priložena e -poštna sporočila lahko vsebujejo eno od naslednjih datotek:
open.exe
resnica.exe
vojna.exe
last.exe
o meni.exe
a.exe
nikoli.exe
najnovejše novice.exe
preberi me.exe
8. Zaustavi procese, povezane z varnostno programsko opremo.
