Zagrożenie ze strony W32.Exploz nadchodzi wraz z plikami
Kod: Zaznacz cały
[FILE NAME].cod.scr
[FILE NAME].fdp.scr
[FILE NAME].slx.scr
Same pliki są widoczne jako
Kod: Zaznacz cały
[FILE NAME].doc
[FILE NAME].pdf
[FILE NAME].xls
Szkodnik dzięki temu manewrowi ukrywa faktyczne rozszerzenie.
Następnie zrzuca na dysk pliki
Kod: Zaznacz cały
%UserProfile%\Templates\wincex.dll (Backdoor.Trojan)
svchost.bat
service.bat
iexplore.bat
services.bat
Dodaje wpisy do rejestru
Kod: Zaznacz cały
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPMM\"Description" = "The service allows you to transfer pictures, music, and documents from your portable device to your PC using a usb cable and a drag and drop interface."
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPMM\"DisplayName" = "Portable Media Manage"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPMM\"ErrorControl" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPMM\"ImagePath" = "%SystemRoot%\System32\svchost.exe -k lssvcs"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPMM\"ObjectName" = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPMM\"Start" = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPMM\"Type" = "32"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPMM\Parameters\"ServiceDll" = "%UserProfile%\Templates\wincex.dll"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPMM\Parameters\"ServiceMain" = "ESEntry"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPMM\Security\"Security" = "[BINARY DATA]"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMM\"NextInstance" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMM\0000\"Class" = "LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMM\0000\"ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMM\0000\"ConfigFlags" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMM\0000\"DeviceDesc" = "Portable Media Manage"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMM\0000\"Legacy" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPMM\0000\"Service" = "WmdmPMM"
A po wszystkim zaczyna infekować nasze plikidoc, pdf i xls