Pendrive-on lapul a Ruternam féreg
A cserélhető meghajtókon keresztül terjedő Ruternam.CZ féreg kiszolgáltatottá teszi a fertőzött számítógépeket a támadásokkal szemben.
A Ruternam.CZ féreg a saját fájljai létrehozása után módosítja a regisztrációs adatbázist. Ennek során olyan bejegyzéseket is kitöröl, amelyek a Windows indulásakor automatikusan betöltődő szoftvereket szabályozzák. Ezt követően változtatásokat eszközöl a Windows beépített tűzfalának beállításaiban annak érdekében, hogy az Interneten keresztül is szabadon végezhesse el a feladatát. Egy hátsó kaput nyit a számítógépeken, és várakozik a támadók parancsaira.
A Ruternam.CZ féreg elsősorban cserélhető meghajtókon, főleg pendrive-okon keresztül igyekszik minél több számítógépre felkerülni. A kártékony program egy AUTORUN.EXE nevű állomány formájában terjed.
Amikor a Ruternam.CZ féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%Profile%\svchost.exe
%Profile%\Start Menu\Programs\Startup\userinit.exe
%System%\drivers\services.exe
%Profile%\explorer.dll
%Profile%\ms_tcp.dll
%System%\explorer.dll
%System%\ms_tcp.dll
2. A regisztrációs adatbázis alábbi két kulcsából minden értéket kitöröl:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
3. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\[system] = "%System%\drivers\services.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\winlogon = "%Profile%\svchost.exe"
HKLM\SYSTEM\CurrentControlSet\Services\Schedule\ImagePath = "%System%\drivers\services.exe"
4. Megpróbál cserélhető meghajtókon terjedni. Minden elérhető meghajtóra felmásol egy AUTORUN.EXE és egy AUTORUN.INF nevű fájlt.
5. A regisztrációs adatbázis módosításával megváltoztatja a Windows beépített tűzfalának beállításait:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\[féreg elérési útvonala] = "[féreg elérési útvonala]:*:Enabled:sys"
6. Különböző API-k módosítása révén bizalmas információkat gyűjt, majd továbbít előre meghatározott szerverek felé.
7. Nyit egy hátsó kaput az 5881-es porton keresztül, majd várakozik a támadók parancsaira.
8. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a fertőzött számítógépeken.
9. A Windows Temp könyvtárába létrehoz egy "STOP" nevű fájlt. Amennyiben ez már létezik, akkor a trójai leállítja saját magát.
