Létrehozva: 2010-07-13, 16:07:32
Utolsó frissítés: 2010-07-13, 16:07:32
Platform: Win32
Típus: család
Dátum: 2008-05-12
Veszélyeztetett operációs rendszer(ek): Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows Server 2003, Windows XP
Nem veszélyeztetett operációs rendszer(ek): Windows 3.xx, DOS, Linux, Unix, Solaris, MacOS, Mac OS X, OS2
 

Az AutoRun.Agent családba a következő kártevők tartoznak:

AutoRun.Agent.AI
AutoRun.Agent.AN
AutoRun.Agent.BJ
AutoRun.Agent.BP
AutoRun.Agent.BS
AutoRun.Agent.BT
AutoRun.Agent.BX
AutoRun.Agent.CB
AutoRun.Agent.CJ
AutoRun.Agent.DO
AutoRun.Agent.FA
AutoRun.Agent.FS
AutoRun.Agent.FX
AutoRun.Agent.GA
AutoRun.Agent.GO
AutoRun.Agent.GY
AutoRun.Agent.IG
AutoRun.Agent.IH
AutoRun.Agent.IK
AutoRun.Agent.IT
AutoRun.Agent.IY
AutoRun.Agent.JR
AutoRun.Agent.KC
AutoRun.Agent.LU
AutoRun.Agent.LZ
AutoRun.Agent.MI
AutoRun.Agent.MJ
AutoRun.Agent.MK
AutoRun.Agent.OD
AutoRun.Agent.S

Telepítés:

Az interneten vagy lokális hálózaton terjedő kártevők elsődleges célja, hogy egy másik számítógépet fertőzzenek meg. A megtámadott számítógép működésébe, annak operációs rendszerébe általában úgy épülnek be, hogy az egy esetleges újraindítást (boot-olást) követően is aktivízálja a kártevő kódját. Ezt általában úgy érik el, hogy a kártevő kódját tartalmazó fájl(oka)t hoznak létre vagy meglévő fájl(oka)t módosítanak, illetve beállítanak néhány bejegyzést a rendszerleíró adatbázisban, ami arra utasítja az induló operációs rendszert, hogy a frissen elhelyezett kártékony kódot is el kell indítani. Emellett - nem közvetlenül az újraindítás érdekében - más területeken (könyvtárakban) is létrehoznak magukból másolatot. Ennek kettős célja van: Egyrészt egy esetleges vírusirtást követően egy eldugott helyen megmaradhatnak a fertőzött állományok, másrészt helyi hálózatokban, megosztott könyvtárakban, peer-to-peer hálózatokban is képes terjedni. Kihasználhatják továbbá a Windows alapértelmezés szerinti beállítását is, miszerint egy létrehozott AUTORUN.INF nevű fájllal el lehet érni, hogy egy meghajtó megnyitásakor is aktivizálódjon a kártékony kód.
image image

Bemásolhatja magát a Program Files mappába is.

Bemásolhatja magát a cserélhető meghajtókra.

Bemásolhatja magát a Windows/System32 mappába is.

Bemásolhatja magát a Windows mappába is.

Használhat random, azaz véletlenszerű karaktersorozatból álló neveket is.

Bemásolhatja magát a törölt elmemek mappába is.

Bemásolhatja magát a Windows/System mappába is.

Bemásolhatja magát a rendszert tartalmazó partíció Documents and Settings könyvtár almappáiba is.

image image

A rendszerleíró adatbázisba bejegyzi magát, biztosítva magának a rendszerindításkori betöltődést.

A számítógépeket támadó vírusok, férgek az elindulást követő aktivizálódás érdekében szolgáltatást (service) is létrehozhatnak. A szolgáltatások paramétereit is természetesen tartalmazza a rendszerleíró adatbázis (registry). A szolgáltatásokat a Windows XP alatt a Vezérlőpult/Felügyeleti eszközök/Szolgáltatások alatt tekinthetjük meg. A vírusok, férgek a szolgáltatásokat le is állíthatják.

A legtöbb esetben szolgáltatást (szervizt) is létrehoz.


E-mail üzenetek

Az e-mail üzenetekben terjedő férgek elsődleges célja, hogy egy másik számítógépet megfertőzzenek. Ezt e-mail üzenetek létrehozásával és elküldésével érik el. Az létrehozott e-mail üzenetek általában tartalmazzák a féreg kódját, de az is előfordulhat, hogy maga a megtámadott számítógép felhasználója tölti azt le az üzenetben megadott hivatkozásról. Az egyes férgek a legkülönfélébb paraméterekkel rendelkező e-mail üzeneteket képesek generálni és elküldeni.

A Win32/AutoRun.Agent család a terjedése érdekében e-mail üzeneteket generál és ebben küldi tovább saját kódját.

Különféle e-mail üzeneteket generálhat, egy jellemző példa:

Feladó

A feladó e-mail címében szereplő felhasználó az alábbiak egyike:

  • HomePlanner
  • hr
  • postcards

A feladó e-mail címéhez az alábbi domanineveket használja fel:

  • coca-cola.com
  • hallmark.com
  • IKEA.com

Tárgy

A levél lehetséges tárgyai:

  • IKEA's New Planning Software
  • Job offer from Coca Cola!
  • You've received A Hallmark E-Card!

Melléklet

A család által elküldött e-mail lehetséges mellékletei:

  • ikea.zip
  • job-application-form.zip
  • postcard.zip


Hátsóajtó

A vírusok, férgek egyre gyakrabban nyitnak hátsóajtót a megtámadott számítógépen. Ezzel teljes mértékben átvehetik a számítógép felügyeletét, a támadó azt csinál a számítógépen, amit csak akar: alkalmazásokat futtathat, állíthat le, állományokat tölthet le/fel, jelszavakat, hozzáférési kódokat tulajdoníthat el.

Különböző portokon képes hátsóajtót nyitni, melyeken keresztül weboldalakhoz csatlakozik, illetve fájlokat tölt le a háttérben.