РАР датотеке су заражене црвом Тигапе
Е-пошта која се шири преко Тигапе.А црв првенствено покушава да се сакрије иза РАР датотека и деактивира безбедносни софтвер на зараженим рачунарима.
Тигапе. Црв се шири првенствено путем е-поште. Е-маил адресе потребне за ово се прикупљају из Виндовс адресара. Црв креира велики број датотека на доступним локалним и мрежним дисковима и у већини случајева се прерушава у .рар датотеке.
Највећа претња црву Тигапе.А је да онемогући безбедносни софтвер који ради на зараженим рачунарима, укључујући антивирусне апликације и заштитне зидове. Црв не штеди уграђени заштитни зид Виндовса, јер такође покушава да га искључи модификацијом регистра.
Када се Тигапе.А црв покрене, он обавља следеће радње:
1. Направите датотеку на следећи начин:
% Систем% \ всервице.еке
2. Копирајте се на било који доступан локални или мрежни диск. Црв користи екстензију „.т“ и име датотеке од осам знакова.
3. Направите рар датотеку са именом датотеке од седам насумично генерисаних знакова на сваком доступном локалном или мрежном диску.
4. Креирајте следећу датотеку:
% ЦуррентФолдер% \ [седам насумичних знакова] .еке
5. База података о регистрацији
ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ СОФТВАРЕ \ Мицрософт \ Виндовс \ ЦуррентВ ерсион \ Рун
ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВе рсион \ Рун
додаје вашим кључевима
„УпдатеСервице“ = „% Систем% \ всервице.еке…“.
6. База података о регистрацији
ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ СИСТЕМ \ ЦуррентЦонтролСет \ Сервицес \ С харедАццесс
додаје вашем кључу
Вредност „Старт“ = „4“.
Ово онемогућава уграђени Виндовс заштитни зид.
7. Прикупља адресе е-поште из Виндовс адресара и прослеђује им их.
Предмет заражених листова може бити:
Вести из Беле куће!
УРГ
ПАЖЊА СВИМА!
ЧИТАЈТЕ И ПОНОВНО ШАЉИТЕ!
Невероватне вести!
ВЕСТИ!
АТТН
ХИТНЕ ВЕСТИ!
Приложене поруке е-поште могу да садрже једну од следећих датотека:
опен.еке
истина.еке
вар.еке
ласт.еке
о мени.еке
а.еке
невер.еке
најновије вести.еке
прочитајте ме.еке
8. Зауставља процесе повезане са сигурносним софтвером.
