Pliki RAR są zainfekowane przez robaka Tigape
Tigape, który rozprzestrzenia się za pośrednictwem wiadomości e-mail Robak stara się przede wszystkim ukryć za plikami RAR i rozbrajać oprogramowanie zabezpieczające zainfekowane komputery.
Robak Tigape.A rozprzestrzenia się głównie za pośrednictwem wiadomości e-mail. Wymagane adresy e-mail są zbierane z książki adresowej systemu Windows. Robak tworzy szereg plików na dostępnych dyskach lokalnych i sieciowych iw większości przypadków podszywa się pod pliki z rozszerzeniem .rar.
Największym zagrożeniem dla robaka Tigape.A jest to, że wyłącza on oprogramowanie zabezpieczające działające na zainfekowanych komputerach, w tym aplikacje antywirusowe i zapory sieciowe. Robak nie oszczędza wbudowanej zapory systemu Windows, ponieważ próbuje ją również wyłączyć, modyfikując rejestr.
Po uruchomieniu robak Tigape.A wykonuje następujące czynności:
1. Utwórz plik w następujący sposób:
% System% \ wservice.exe
2. Skopiuj się na każdy dostępny dysk lokalny lub sieciowy. Robak używa rozszerzenia „.t” i ośmioznakowej nazwy pliku.
3. Utwórz plik rar z nazwami plików składającymi się z siedmiu losowo generowanych znaków na każdym dostępnym dysku lokalnym lub sieciowym.
4. Utwórz następujący plik:
% CurrentFolder% \ [siedem losowych znaków] .exe
5. Baza danych rejestracyjnych
HKEY_LOCAL_MACHINE \ OPROGRAMOWANIE \ Microsoft \ Windows \ Bieżąca wersja \ Run
HKEY_CURRENT_USER \ Oprogramowanie \ Microsoft \ Windows \ CurrentVersion \ Run
dodaje do twoich kluczy
„UpdateService” = „% System% \ wservice.exe…”.
6. Baza danych rejestracyjnych
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Usługi \ SharedAccess
dodaje do twojego klucza
„Start” = wartość „4”.
Spowoduje to wyłączenie wbudowanej zapory systemu Windows.
7. Zbierz adresy e-mail z Książki adresowej systemu Windows i prześlij je do nich.
Przedmiotem porażonych liści może być:
Wiadomości z Białego Domu!
URG
Zwróć uwagę na wszystkich!
PRZECZYTAJ I WYŚLIJ PONOWNIE JAK NAJSZYBCIEJ!
Niesamowita wiadomość!
AKTUALNOŚCI!
Do wiadomości
PILNE WIADOMOŚCI!
Załączone wiadomości e-mail mogą zawierać jeden z następujących plików:
otwórz.exe
prawda.exe
wojna.exe
ostatni.exe
o mnie.exe
a.exe
nigdy.exe
najnowsze wiadomości.exe
przeczytaj mnie.exe
8. Zatrzymuje procesy związane z oprogramowaniem zabezpieczającym.