RAR 文件被 Tigape 蠕虫感染

Tigape，通过电子邮件传播。该蠕虫主要试图隐藏在 RAR 文件后面并禁用受感染计算机上的安全软件。

Tigape.A 蠕虫主要通过电子邮件传播。 所需的电子邮件地址是从 Windows 通讯簿中收集的。 该蠕虫会在可用的本地和网络驱动器上创建大量文件，并且大部分时间将自己伪装成 .rar 文件。

Tigape.A 蠕虫最大的威胁是它会禁用在受感染计算机上运行的安全软件，包括防病毒应用程序和防火墙。 该蠕虫不会放过 Windows 的内置防火墙，因为它还试图通过修改注册表来关闭它。

当 Tigape.A 蠕虫启动时，它会执行以下操作：

1.创建文件如下：
%系统%\wservice.exe

2. 将自身复制到所有可用的本地和网络驱动器。该蠕虫使用“.t”扩展名和八个字符的文件名。

3. 在每个可用的本地或网络驱动器上创建一个 rar 文件，文件名由七个随机生成的字符组成。

4. 创建以下文件：
% CurrentFolder% \ [七个随机字符] .exe

5.注册数据库
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentV rsion \ 运行
添加到您的密钥
“UpdateService”=“%System%\wservice.exe…”值。

6.注册数据库
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
添加到您的密钥
“开始”=值“4”。
这将禁用内置的 Windows 防火墙。

7. 从 Windows 通讯簿中收集电子邮件地址并将其转发给他们。

受感染叶子的主题可能是：
白宫新闻！
URG
ATTN 给大家！
尽快阅读并重新发送！
难以置信的消息！
新闻！
ATTN
紧急消息！

附加的电子邮件可以附加以下文件之一：
打开.exe
truth.exe
war.exe
可执行文件
关于我.exe
A.EXE
从不.exe
最新消息.exe
读我.exe

8. 停止与安全软件相关的进程。