[Symantec] Ostrzeżenie przed W32.Exploz

[cosik_ktosik]

Symantec ostrzega przed wirusem W32.Exploz infekującym pliki DOC, PDF oraz XLS.

Zagrożenie ze strony W32.Exploz nadchodzi wraz z plikami

Kod: Zaznacz cały

    [FILE NAME].cod.scr
    [FILE NAME].fdp.scr
    [FILE NAME].slx.scr

Same pliki są widoczne jako

Kod: Zaznacz cały

    [FILE NAME].doc
    [FILE NAME].pdf
    [FILE NAME].xls



Szkodnik dzięki temu manewrowi ukrywa faktyczne rozszerzenie.

Następnie zrzuca na dysk pliki

Kod: Zaznacz cały

    %UserProfile%\Templates\wincex.dll (Backdoor.Trojan)
    svchost.bat
    service.bat
    iexplore.bat
    services.bat

Dodaje wpisy do rejestru

Kod: Zaznacz cały

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPMM\"Description" = "The service allows you to transfer pictures, music, and documents from your portable device to your PC using a usb cable and a drag and drop interface."
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPMM\"DisplayName" = "Portable Media Manage"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPMM\"ErrorControl" = "1"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPMM\"ImagePath" = "%SystemRoot%\System32\svchost.exe -k lssvcs"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPMM\"ObjectName" = "LocalSystem"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPMM\"Start" = "2"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPMM\"Type" = "32"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPMM\Parameters\"ServiceDll" = "%UserProfile%\Templates\wincex.dll"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPMM\Parameters\"ServiceMain" = "ESEntry"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPMM\Security\"Security" = "[BINARY DATA]"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMM\"NextInstance" = "1"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMM\0000\"Class" = "LegacyDriver"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMM\0000\"ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMM\0000\"ConfigFlags" = "0"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMM\0000\"DeviceDesc" = "Portable Media Manage"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMM\0000\"Legacy" = "1"
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMM\0000\"Service" = "WmdmPMM"

A po wszystkim zaczyna infekować nasze plikidoc, pdf i xls

[kominekl]

Tego typu wirusy nie robią zwykle "kariery". Tak i w tym przypadku raczej się wydarzy .