Kénye-kedve szerint nyomtat a Cantix
A féreg bizonyos időpontokban váratlanul elkezd kinyomtatni egy általa létrehozott dokumentumot.
Kategóriák: Biztonság, IT-védelem
Szerző: Kristóf Csaba
2010. augusztus 31.
A Cantix.A alapját egy VB Script jelenti, amelynek segítségével minden olyan műveletet képes végrehajtani, amely a feladatainak ellátásához szükséges. Ezek közül az egyik meglehetősen érdekes, hiszen január, április, július és október első napján - minden előzetes jel nélkül - elkezd nyomtatni. Ennek során egy általa létrehozott dokumentumot küld az alapértelmezett nyomtatóra.
Az Isidor Biztonsági Központ szerint a Cantix.A elsősorban cserélhető meghajtókon keresztül terjed. A regisztrációs adatbázis manipulálásával eléri, hogy a Windows minden egyes újraindulásakor automatikusan be tudjon töltődni, majd megváltoztatja az Internet Explorer kezdőoldalát. Mindezek mellett módosítja a könyvtár- és fájlmegjelenítési beállításokat, valamint elérhetetlenné teszi a regisztrációs adatbázis szerkesztőjét.
Amikor a Cantix.A féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományt:
%system32%[véletlenszerű karakterek].tmp
%system32%v.doc
C:dekstop.ini
%my documents%df5srvc.bfe
2. A C meghajtó gyökérkönyvtárába olyan parancsikonokat hoz létre, amelyek neve megegyezik a meghajtón található legfelsőbb szintű mappák neveivel. Például:
C:Documents and Settings.lnk
3. A saját kódjából készít egy másolatot a következők szerint:
C:dekstop.ini
4. A regisztrációs adatbázisban létrehozza az alábbi bejegyzéseket:
HKCUSoftwareMicrosoftWindowsCurrentVersionRunDf5serv="wscript.exe //e:vbscript "c:documents and settingsadministratormy documentsdf5srvc.bfe"
HKLMSoftwareMicrosoftWindowsCurrentVersionRunWinUpdate="wscript.exe //e:vbscript "%windir%:microsoft office update for windows xp.sys"
5. A regisztrációs adatbázisban módosítja a következő értékeket:
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableRegistrytools="1"
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSuperHiddenWarningIfNotDefault="..."
HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSuperHiddenCheckedValue="0"
6. A cserélhető adattárolók gyökérkönyvtárába létrehoz egy dekstop.ini és egy autorun.inf nevű állományt.
7. Létrehozza a következő fájlokat:
%appdata%microsoftcd burningdekstop.ini
%appdata%microsoftcd burningautorun.inf
8. A regisztrációs adatbázisban módosítja az alábbi értéket:
HKCUSoftwareMicrosoftInternet ExplorerMainStart Page="..."
9. Amennyiben a rendszerdátum január, április, július vagy október első napját mutatja, akkor lefuttatja a következő parancsot:
notepad.exe /p %system32%v.doc
Ezzel kinyomtatja a v.doc állományt.
A hír testvéroldalunkon, a Computerworld biztonság rovatában jelent meg.
