Червей, който обезоръжава софтуера за сигурност

Stration.C е базиран на имейл червей, който изтегля злонамерени файлове от Интернет и деактивира софтуера за сигурност.

Червеят Stration.C събира имейл адресите, необходими за разпространението му от адресната книга на Windows и от файлове с различни разширения на заразените компютри. Червеят създава редица файлове и модифицира системния регистър. След това се опитва да деактивира софтуера за сигурност - особено защитните стени - за да може да изтегля файлове свободно от Интернет.

Когато Stration.C стартира, той изпълнява следните действия:

1. Създайте следните файлове:
% Windir% \\\ smb.exe
% Windir% \\\ smb.dll
% Windir% \\\ smb.wax
% Windir% \\\ smb.gfx
% Система% \ acac.dll
% System% \ corpdpvv.exe
% System% \ d3diusp1.dll
% System% \ fldrtsd3.dll
% Система% \ sisbmsxb.dll
[случайни числа] .tmp

2. Базата данни за регистрация
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Run
добавя към вашия ключ
“Rsmb” = ”% Windows% \\\ smb.exe s”.

3. Добавете следния запис към базата данни за регистрация:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify \ acac

4. Базата данни за регистрация
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows
добавя към вашия ключ
“AppInit_DLLs” = “sisbmsxb.dll fldrtsd3.dll” стойност.

5. Спира услугите, свързани със софтуера за защита.

6. Изтеглете и стартирайте файл.

7. Събира имейл адреси от адресната книга на Windows и файлове с различни разширения. Той се препраща към тях.

Обектът на заразените листа може да бъде:
здравей
снимка
Отчет за сървъра
Статус
тест
Добър ден
грешка
Система за доставка на поща
Транзакцията по пощата не бе успешна

Файлове с разширения на .log, .elm, .msg, .txt или .dat могат да бъдат именувани:
тяло
данни
do
Документи
документ
досие
съобщение
чета
тест
текст.