Numann Huq, a SophosLabs munkatársának blogjából
Manapság igen ritkán találunk olyan kártevőt, amelynek egyetlen célja szándékosan tönkretenni az áldozat számítógépét. A W32/Scar-H egy tipikus példája az ilyen különc kártevőknek, amely átvitt értelemben bombát robbant az áldozaton.
Első látásra a W32/Scar-H egy szokványos Autorun féregnek tűnik, amely áldozatról áldozatra jár. Amikor először fut le, a következő állományokat hozza létre:
<System>ntldr.exe (önmaga másolata)
<Root>WinNT.exe (önmaga másolata)
<Root>AutoRun.inf
Bármilyen hálózati betűvel rendelkező felmappelt eszközre át tud menni a következő rejtett attribútumú állományok létrehozásával:
<Root>WinNT.exe (önmaga másolata)
<Root>AutoRun.inf (a WinNT.exe lefuttatásához, amikor a meghajtóhoz hozzáfér)
Itt kezdődik a tombolás. A W32/Scar-H szisztematikusan kicseréli a C: meghajtón található összes .exe kiterjesztésre végződő állományt önmaga másolatával, a <System> könyvtárban találhatóakkal kezdve. A kicserélt állományok fájlneve változatlan marad. Ezek a változatlan fájlnevek hozzáadódnak a robbanó elegyhez.
A C: meghajtón történő összes fájl kicseréléssel egy alkalmazás összeomlása garantáltan bekövetkező esemény lesz. A Windows alapértelmezett debuggoló alkalmazása a <System>\Drwtsn32.exe, amely befogja az összeomlási naplót és feldolgozza a dump állományt a Microsoft-hoz történő opcionális elküldés céljából. A W32/Scar-H már kényelmesen kicserélte a Drwtsn32.exe állományt saját maga másolatával. Emiatt minden alkalommal, amikor a Windows meghívja a Drwtsn32.exe-t egy kivétel kezelése miatt, egy másik W32/Scar-H folyamatot fog a Windows létrehozni. Ez a Drwtsn32.exe meghívás ismételten és végtelenítve fog megtörténni egészen addig, amíg az áldozat számítógépe teljes mértékben működésképtelen lesz. A számítógép újraindítása után a következő jelenik meg
Windows could not start because the following file is missing or corrupt:
<Windows root>\system32\ntoskrnl.exe
Please re-install a copy of the above file.
Ez az üzenet tulajdonképpen azt mondja, hogy a W32/Scar-H sikeresen kicserélte a <System> könyvtárban található ntoskrnl.exe állományt önmaga másolatával. Az Ntoskrnl.exe a Windows NT család kernel image állománya. Biztos vagyok benne, hogy az ntoskrnl.exe megjavítása a teljes tisztítási folyamat egy kis része lesz a teljes féreg eltávolítási folyamatból.