A Bamital trójai a webes keresőkben megjelenő találati listák manipulálásával igyekszik a felhasználókat különböző weboldalakra vezetni.

A Bamital trójai készítői elsősorban reklámcélokkal hozták létre a kártevőjüket. A trójai azonban nem spammeléssel vagy felbukkanó ablakok megjelenítésével próbálja a felhasználók figyelmét felhívni egy-egy termékre vagy szolgáltatásra, hanem egyéb webes trükköket vet be. Már korábban is felbukkantak olyan számítógépes kártevők, amelyek képesek voltak a webes keresőkben megjelenő hivatkozások manipulálására. A Bamital is ezt a technikát alkalmazza.

Az Isidor Biztonsági Központ közleménye szerint a trójai két fájl létrehozása és a regisztrációs adatbázis módosítása után különböző folyamatokat fertőz meg, amelyek mögé igyekszik elrejtőzni. Ezt követően folyamatosan monitorozza a webböngészőket. Amennyiben a felhasználó valamely népszerű webes keresőben elkezd kutakodni, akkor a kártékony program a találatok listáját módosítja, és abba különféle linkeket szúr be.

A Bamital az Internet Explorer, a Firefox valamint az Opera webböngészők esetében is képes a károkozásra.

Amikor a Bamital trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza az alábbi fájlokat:
%UserProfile%\Templates\memory.tmp
%UserProfile%\Local Settings\Application Data\Windows Server\[véletlenszerű karakterek].dll

2. A regisztrációs adatbázishoz hozzáfűzi a következő értékeket:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\"AppSecDll" = "%UserProfile%\Local Settings\Application Data\Windows Server\[véletlenszerű karakterek].dll"
HKEY_CURRENT_USER\Software\[véletlenszerű karakterek]\"[véletlenszerű karakterek]" = "[...]"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr\Parameters\"FirstRun" = "1"

3. A regisztrációs adatbázisból kitörli az alábbi értéket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\"DisableSR" = "1"

4. Leellenőrzi, hogy futnak-e az alábbi folyamatok:
cmdagent.exe
fssm32.exe
fsorsp.exe
avp.exe
iexplore.exe
firefox.exe
opera.exe
explorer.exe

5. Megfertőzi a fenti folyamatokat.

6. Folyamatosan monitorozza a webböngészőket, és módosítja a keresőoldalakon megjelenő találati listákat. Ezekbe reklámcéllal hivatkozásokat szúr be.

7. Kapcsolódik egy előre meghatározott távoli szerverhez.

Ha tetszett a cikk, oszd meg ismerőseiddel is a legnépszerűbb közösségi oldalakon (klikk a gombra):

A hír megjelenését a Biztonságportál támogatta.