Létrehozva: 2010-07-13, 16:12:24
Utolsó frissítés: 2010-07-13, 16:12:24
Platform: Win32
Típus: család
Dátum: 2008-04-23
Veszélyeztetett operációs rendszer(ek): Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows Server 2003, Windows XP
Nem veszélyeztetett operációs rendszer(ek): Windows 3.xx, DOS, Linux, Unix, Solaris, MacOS, Mac OS X, OS2
 

Az AutoRun.FlyStudio családba a következő kártevők tartoznak:

AutoRun.FlyStudio.AE
AutoRun.FlyStudio.AG
AutoRun.FlyStudio.AN
AutoRun.FlyStudio.BA
AutoRun.FlyStudio.BC
AutoRun.FlyStudio.BH
AutoRun.FlyStudio.BI
AutoRun.FlyStudio.BK
AutoRun.FlyStudio.BM
AutoRun.FlyStudio.BS
AutoRun.FlyStudio.CD
AutoRun.FlyStudio.CI
AutoRun.FlyStudio.CL
AutoRun.FlyStudio.H
AutoRun.FlyStudio.I
AutoRun.FlyStudio.J
AutoRun.FlyStudio.Q
AutoRun.FlyStudio.Z

Telepítés:

Egyes vírusok, férgek a telepítést megelőzően, illetve a telepítés során, esetleg a számítógép sikeres megfertőzését követő első újraindítás alkalmával valamilyen látványos tevékenységet végeznek. Ennek a célja - azon kívül, hogy felhívják magukra a figyelmet - az, hogy az felhasználói interaktívitással (egy billentyűlenyomás vagy egérkattintás) megnehezítsék a kártékony kód automatikus feldolgozását virtuális környezetben.

A család a saját kódjának telepítése során az alábbi ablako(ka)t jeleníti meg a képernyőn:

image Az interneten vagy lokális hálózaton terjedő kártevők elsődleges célja, hogy egy másik számítógépet fertőzzenek meg. A megtámadott számítógép működésébe, annak operációs rendszerébe általában úgy épülnek be, hogy az egy esetleges újraindítást (boot-olást) követően is aktivízálja a kártevő kódját. Ezt általában úgy érik el, hogy a kártevő kódját tartalmazó fájl(oka)t hoznak létre vagy meglévő fájl(oka)t módosítanak, illetve beállítanak néhány bejegyzést a rendszerleíró adatbázisban, ami arra utasítja az induló operációs rendszert, hogy a frissen elhelyezett kártékony kódot is el kell indítani. Emellett - nem közvetlenül az újraindítás érdekében - más területeken (könyvtárakban) is létrehoznak magukból másolatot. Ennek kettős célja van: Egyrészt egy esetleges vírusirtást követően egy eldugott helyen megmaradhatnak a fertőzött állományok, másrészt helyi hálózatokban, megosztott könyvtárakban, peer-to-peer hálózatokban is képes terjedni. Kihasználhatják továbbá a Windows alapértelmezés szerinti beállítását is, miszerint egy létrehozott AUTORUN.INF nevű fájllal el lehet érni, hogy egy meghajtó megnyitásakor is aktivizálódjon a kártékony kód.
image image

Bemásolhatja magát a cserélhető meghajtókra.

Bemásolhatja magát a Windows/System32 mappába is.

Használhat random, azaz véletlenszerű karaktersorozatból álló neveket is.

Bemásolhatja magát a rendszert tartalmazó partíció Documents and Settings könyvtár almappáiba is.

image

A rendszerleíró adatbázisba bejegyzi magát, biztosítva magának a rendszerindításkori betöltődést.


Hátsóajtó

A vírusok, férgek egyre gyakrabban nyitnak hátsóajtót a megtámadott számítógépen. Ezzel teljes mértékben átvehetik a számítógép felügyeletét, a támadó azt csinál a számítógépen, amit csak akar: alkalmazásokat futtathat, állíthat le, állományokat tölthet le/fel, jelszavakat, hozzáférési kódokat tulajdoníthat el.

Különböző portokon képes hátsóajtót nyitni, melyeken keresztül weboldalakhoz csatlakozik, illetve fájlokat tölt le a háttérben.


Tevékenységek

Minden vírus, féreg azt csinál, amit akar, illetve amit a programozó beleprogramozott. Egyes vírusok, férgek tevékenységüket (büntető rutinjukat) valamilyen eseményhez, legtöbbször valamilyen időponthoz kötik.

feltétel

véletlenszerűen

tevékenység

a következő ablako(ka)t jeleníti meg:

image