Wurm, der Sicherheitssoftware entwaffnet

Stration.C ist ein E-Mail-basierter Wurm, der bösartige Dateien aus dem Internet herunterlädt und Sicherheitssoftware deaktiviert.

Der Wurm Stration.C sammelt die für seine Verbreitung benötigten E-Mail-Adressen aus dem Windows-Adressbuch und aus Dateien mit unterschiedlichen Erweiterungen auf infizierten Computern. Der Wurm erstellt eine Reihe von Dateien und ändert die Registrierung. Es versucht dann, Sicherheitssoftware – insbesondere Firewalls – zu deaktivieren, um Dateien frei aus dem Internet herunterladen zu können.

Wenn Stration.C gestartet wird, führt es die folgenden Aktionen aus:

1. Erstellen Sie die folgenden Dateien:
% Windir% \\\ smb.exe
% Windir% \\\ smb.dll
% Windir% \\\ smb.wachs
% Windir% \\\ smb.gfx
% System% \ acac.dll
% System% \ corpdpvv.exe
% System% \ d3diusp1.dll
% System% \ fldrtsd3.dll
% System% \ sisbmsxb.dll
[Zufallszahlen] .tmp

2. Die Registrierungsdatenbank
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunV
fügt Ihrem Schlüssel hinzu
„Rsmb“ = „% Windows% \\\ smb.exe s“.

3. Fügen Sie der Registrierungsdatenbank folgenden Eintrag hinzu:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify \ acac

4. Die Registrierungsdatenbank
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ Currentversion \ Windows-
fügt Ihrem Schlüssel hinzu
„AppInit_DLLs“ = „sisbmsxb.dll fldrtsd3.dll“-Wert.

5. Stoppt die mit der Sicherheitssoftware verknüpften Dienste.

6. Laden Sie eine Datei herunter und starten Sie sie.

7. Sammelt E-Mail-Adressen aus dem Windows-Adressbuch und Dateien mit unterschiedlichen Erweiterungen. An diese leitet er sich weiter.

Das Thema infizierter Blätter kann sein:
HELLO
ein Bild
Report Server
Status
Test
Good Day
Fehler
Mail Delivery System
E-Mail-Transaktion fehlgeschlagen

Dateien mit den Dateierweiterungen .log, .elm, .msg, .txt oder .dat können wie folgt benannt werden:
Körper
technische Daten
do
docs
Dokument
Datei
Nachricht
readme
Test
Text.