Ver qui désarme les logiciels de sécurité

Stration.C est un ver de messagerie qui télécharge des fichiers malveillants à partir d'Internet et désactive les logiciels de sécurité.

Le ver Stratation.C collecte les adresses e-mail nécessaires à sa propagation à partir du carnet d'adresses Windows et de fichiers avec différentes extensions sur les ordinateurs infectés. Le ver crée un certain nombre de fichiers et modifie le registre. Il essaie ensuite de désactiver les logiciels de sécurité - en particulier les pare-feu - afin de pouvoir télécharger librement des fichiers sur Internet.

Lorsque Stration.C démarre, il effectue les actions suivantes :

1. Créez les fichiers suivants :
% Windir% \\\ smb.exe
% Windir% \\\ smb.dll
% Windir% \\\ smb.wax
% Windir% \\\ smb.gfx
% System% \ acac.dll
% System% \ corpdpvv.exe
% System% \ d3diusp1.dll
% System% \ fldrtsd3.dll
% System% \ sisbmsxb.dll
[nombres aléatoires] .tmp

2. La base de données d'inscription
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Exécuter
ajoute à votre clé
« rsmb » = « %Windows%\\\smb.exe s ».

3. Ajoutez l'entrée suivante à la base de données d'enregistrement :
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify \ acac

4. La base de données d'inscription
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows
ajoute à votre clé
«AppInit_DLLs» = «sisbmsxb.dll fldrtsd3.dll».

5. Arrête les services associés au logiciel de sécurité.

6. Téléchargez et lancez un fichier.

7. Collecte les adresses e-mail du carnet d'adresses Windows et les fichiers avec différentes extensions. Il se transmet à ceux-ci.

Le sujet des feuilles infectées peut être :
hello
image
Rapport du serveur
Statut
tester
Bonne journée
Erreur
Système de livraison de courrier
Échec de la transaction par courrier

Les fichiers avec les extensions de fichier .log, .elm, .msg, .txt ou .dat peuvent être nommés :
corps
données
do
docs
document
filet
message
readme
tester
texte.