tesztpad - Lopakodik a Downexec trójai

Partnereink:

Lopakodik a Downexec trójai

A hír megjelenését a biztonságportál támogatta.
A Downexec.B egyszerű, fájlokat töltögető trójai,ám nagyon komoly változtatásokat képes végezni a Windowsban.
A Downexec.B trójai egy rootkitet telepít a fertőzött számítógépekre, amelynek révén különböző kernelszintű komponenseket módosít. Ennek hatására képessé válik a biztonsági szoftverek hatástalanítására. A trójai megfertőzi az explorer.exe állományt is, és a mögé rejtőzve töltöget le előre meghatározott weboldalakról különböző kártékony állományokat. A Downexec.B az MBR és a partíciós táblához tartozó adatokat is gondosan ellenőrzi. Amennyiben a lemezen lévő első partíció FAT32 vagy NTFS fájlrendszerre épül, akkor annak utolsó szektorába bemásolja a fertőzött explorer.exe állományt. Ezt követően további kártékony programokat töltöget le az Interneten keresztül. Végül egy olyan .bat kiterjesztésű állományt is létrehoz, amelynek segítségével képes saját magát eltávolítani a fertőzött rendszerből. A trójai egyes esetekben a rendszerdátumot visszaállítja 2000-re. Amikor a Downexec.B trójai elindul, akkor az alábbi műveleteket hajtja végre: 1 . Betölti az NTOSKRNL.EXE nevű fájt. 2 . Egyes esetekben a rendszerdátumot 2000-re módosítja. 3 . Létrehozza a következő fájlt, amely egy rootkit komponenst tartalmaz: C:\[véletlenszerű karakterek].dat 4 . A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzést: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[véletlenszerű karakterek] 5 . Módosít néhány kernel drivert annak érdekében, hogy hatástalanítson egyes biztonsági szoftvereket. 6 . Letörli a C:\[véletlenszerű karakterek].dat állományt. 7 . Leállít néhány - többnyire biztonsági alkalmazásokhoz tartozó - folyamatot. 8 . Megfertőzi az explorer.exe állományt, és ennek révén további kártékony fájlokat tölt le. 9 . MBR és partíciós tábla adatok olvas be. 10 . Amennyiben a merevlemez első partíciója FAT32 vagy NTFS fájlrendszerre épül, akkor annak utolsó szektorába bemásolja az explorer.exe állományt. 11 . Elindítja az IEXPLORER.EXE állományt. 12 . Előre meghatározott weboldalakról fájlokat tölt le a Windows Temp könyvtárába 13 . Létrehozza a következő állományt: %CurrentFolder%\delme.bat Ennek révén képes eltávolítani saját magát a fertőzött rendszerből.
Kapcsolodó cikkek, tesztek: Hírek Biztonsági Hírek

| Média ajánlat | Site térkép | Rólunk | Elérhetöség | Copyright | ©2006 Tesztpad.hu