A Rohimafo trójai jól ismert folyamatok megfertőzése után folyamatosan figyeli a billentyűleütéseket, és egy hátsó kapu létesítésével adatokat szivárogtat ki.

A Rohimafo trójai alapvetően két szempontból jelent veszélyt a számítógépekre és az azokon tárolt adatokra. Egyrészt ismert folyamatok megfertőzősével egy billentyűzetfigyelő összetevőt indít el, amely folyamatosan figyelemmel kíséri a felhasználó által bevitt adatokat. Ezeket gondosan összegyűjti, majd időközönként kiszivárogtatja az információkat a terjesztői számára. A trójai másik veszélye, hogy egy hátsó kaput nyit a rendszereken, amelyeken keresztül a támadók az alábbi műveleteket hajthatják végre:
- fájlok letöltése
- folyamatok leállítása
- billentyűzetfigyelésből származó információk begyűjtése
- hálózati beállítások módosítása.

Az Isidor Biztonsági Központ felhívta a figyelmet arra, hogy a Rohimafo a regisztrációs adatbázis egyszerű módosításával képes megkerülni a Windows beépített tűzfalát, de egyéb módosításokat is eszközöl a hálózati beállításokban, amelyek révén átirányításokat hajt végre az adatforgalomban.

Amikor a Rohimafo trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza az alábbi állományt:
%SystemDrive%\system32\[véletlenszerű karakterek].exe

2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"FileSystem" = "%SystemDrive%\system32\[véletlenszerű karakterek].exe"

3. A regisztrációs adatbázisban módosítja a következő értéket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"userinit" = "%Windir%\system32\userinit.exe,%SystemDrive%\system32\[véletlenszerű karakterek].exe,"

4. A regisztrációs adatbázisban létrehozza a következő értéket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\"option_1" = "[DWORD VALUE]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\"option_2" = "[DWORD VALUE]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\"option_3" = "[DWORD VALUE]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\"option_4" = "[DWORD VALUE]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\"option_5" = "[DWORD VALUE]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\"option_6" = "[DWORD VALUE]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\"option_7" = "[DWORD VALUE]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\"option_8" = "[DWORD VALUE]"

5. Leállít egy olyan drivert, amely a CA Host IPS rendszeréhez tartozik.

6. Leállítja az AVGTRAY.exe folyamatot.

7. Eltávolítja az utolsó helyreállítási pontot.

8. Megfertőzi az alábbi folyamatokat (amennyiben azok futnak):
services.exe
iexplore.exe
opera.exe
java.exe
javaw.exe
explorer.exe
isclient.exe
intpro.exe

9. Folyamatosan naplózza a billentyűleütéseket:
%ProgramFiles%\Common Files\keylog.txt
%ProgramFiles%\Common Files\handy\pass.log
%ProgramFiles%\Common Files\handy\links.log
%ProgramFiles%\Common Files\wm\keylog.txt
%ProgramFiles%\Common Files\rfk\pass.txt
%ProgramFiles%\Common Files\rfk\keys.zip

10. A 15425-ös TCP-porton keresztül elindít egy proxy szervert.

11. A regisztrációs adatbázisban módosítja a következő értéket:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\GloballyOpenPorts\List\" 15425:TCP" = "15425:TCP:*:Enabled:15425"

Ezzel megkerüli a Windows tűzfalát.

11. Nyit egy hátsó kaput, és csatlakozik előre meghatározott távoli szerverekhez.

12. Módosítja a regisztrációs adatbázis következő értéket:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes\" [hálózati cím],255.255.255.0,[GATEWAY],1" = ""

A hír megjelenését a biztonságportál támogatta.

Kapcsolodó cikkek, tesztek:
Hírek
Vírus Hírek