Robak rozbrajający oprogramowanie zabezpieczające

Station.C to robak wykorzystujący pocztę e-mail, który pobiera złośliwe pliki z Internetu i wyłącza oprogramowanie zabezpieczające.

Robak Stratation.C zbiera adresy e-mail potrzebne do rozprzestrzeniania się z książki adresowej systemu Windows oraz z plików o różnych rozszerzeniach na zainfekowanych komputerach. Robak tworzy szereg plików i modyfikuje rejestr. Następnie próbuje wyłączyć oprogramowanie zabezpieczające — zwłaszcza zapory — aby móc swobodnie pobierać pliki z Internetu.

Po uruchomieniu Stratation.C wykonuje następujące czynności:

1. Utwórz następujące pliki:
% Windir% \\\ smb.exe
% Windir% \\\ smb.dll
% Windir% \\\ smb.wax
% Windir% \\\ smb.gfx
% System% \ acac.dll
% System% \ corpdpvv.exe
% System% \ d3diusp1.dll
% System% \ fldrtsd3.dll
% System% \ sisbmsxb.dll
[liczby losowe] .tmp

2. Baza danych rejestracyjnych
HKEY_LOCAL_MACHINE \ OPROGRAMOWANIE \ Microsoft \ Windows \ Bieżąca wersja \ Run
dodaje do twojego klucza
„Rsmb” = „% Windows% \\\ smb.exe s”.

3. Dodaj następujący wpis do bazy danych rejestracji:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\acac

4. Baza danych rejestracyjnych
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows
dodaje do twojego klucza
Wartość „AppInit_DLLs” = „sisbmsxb.dll fldrtsd3.dll”.

5. Zatrzymuje usługi związane z oprogramowaniem zabezpieczającym.

6. Pobierz i uruchom plik.

7. Zbiera adresy e-mail z książki adresowej Windows oraz pliki z różnymi rozszerzeniami. Przekazuje się do nich.

Przedmiotem porażonych liści może być:
cześć
obraz
Serwer raportów
Rynek
test
Dobry Dzień
Błąd
System poczty dostawy
Transakcja pocztowa nie powiodła się

Pliki z rozszerzeniami .log, .elm, .msg, .txt lub .dat można nazwać:
ciało
dane
do
docs
dokument
filet
wiadomość
readme
test
tekst.