Windows frissítésnek álcázott vírus
A Bayrob trójai a Windows frissítő szolgáltatásának álcázza magát, és így próbál meg bizalmas adatokat megszerezni, illetve egy hátsó kaput nyitni a fertőzött számítógépeken. A Bayrob trójai a legtöbb esetben a Windows automatikus frissítő szolgáltatásaként próbálja álcázni saját magát. Ennek megfelelően létrehoz egy Windows Update szolgáltatást, majd nyit egy hátsó kaput a 81-as TCP porton. Ezen keresztül kiszolgáltatottá teszi a fertőzött PC-ket, és egy proxy szervert is telepít azokra. A trójai folyamatosan figyeli a felhasználó által meglátogatott weboldalakat, és az eBay weboldalainak megnyitásakor aktivizálódik. Amikor a Bayrob trójai elindul, akkor az alábbi műveleteket hajtja végre: 1. Létrehozza a következő fájlokat: %System%\\windowsupdate.exe %System%\\4033ccf\\cfg 2. A regisztrációs adatbázisban létrehozza az alábbi bejegyzést: HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\"Windows Update" = "C:\\WINDOWS\\system32\\WindowsUpdate.exe" 3. Létrehoz egy "Windows Update" nevű szolgáltatást. 4. A regisztrációs adatbázisban létrehozza az alábbi bejegyzést: HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Windows Update 5. A regisztrációs adatbázisban módosítja az alábbi bejegyzéseket: HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\"ProxyEnable" = "0" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\ZoneMap\\"IntranetName" = "01000000" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\ZoneMap\\"UNCAsIntranet" = "01000000" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\ZoneMap\\"ProxyBypass" = "01000000" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Connections 6. Létrehozza a következő fájlt: Data\\Mozilla\\Firefox\\Profiles\\[aktuális profil]\\user.js 7. Nyit egy hátsó kaput a 80-as TCP porton keresztül, és létrehoz egy proxy-t. 8. Figyeli, hogy a felhasználó mikor látogatja meg az eBay weboldalait. 9. Távoli szerverekhez kapcsolódik. |
Kapcsolodó cikkek, tesztek: Hírek |
|---|
