Kártevőket terjeszt a Dogrobot trójai

A Dogrobot trójai interneten keresztül különböző kártékony kódokat próbál feljuttatni az általa megfertőzött rendszerekre.

A Dogrobot trójai célja, hogy a számítógépekre olyan kódokat, programokat töltsön le, amelyek a terjesztői számára további károkozásokat segíthetnek elő. A trójai ennek megfelelően előre meghatározott szerverekhez csatlakozik, amelyekről különböző állományokat tölt le anélkül, hogy a felhasználó ebből bármit is észrevehetne.

Az Isidor Biztonsági Központ jelentése szerint a Dogrobot látszólag a Kaspersky Anti-Virus egyik (kav.exe nevű) fájlja révén terjed, azonban ez csak a megtévesztést szolgálja. Emellett jó néhány egyéb fájlt is létrehoz a rendszereken. Ezt követően manipulálja a regisztrációs adatbázist, valamint a Windows hosts állományát, melynek révén különböző távoli szerverek - fertőzött PC-kről való - elérését gátolja meg.

Amint a trójai végez a számára kijelölt feladatokkal, akkor a terjesztőinek elküldi az áldozatául esett számítógépek legfontosabb adatait.

Amikor a Dogrobot trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
%UserProfile%Local SettingsTempupdata.exe
%Windir%system32kav.exe
%UserProfile%Local SettingsTempope4.tmp

2. A Windows könyvtárába bemásolja az alábbi fájlokat:
%Windir%Program FilesATIamdk8.dll
%Windir%system32ccte1sto.dat
%Windir%system32driversamdk8.sys
%Windir%LastGoodINFoem[véletlenszerű karakterek].PNF
%Windir%LastGoodINFoem[véletlenszerű karakterek].inf
%Windir%infoem[véletlenszerű karakterek].inf

3. Módosítja a következő állományt:
%System%userinit.exe

4. A regisztrációs adatbázishoz hozzáfűzi az alábbi értéket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"kav" = "C:WINDOWSsystem32kav.exe"

5. A regisztrációs adatbázisban létrehozza a következő bejegyzéseket:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesamdk8
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_DOGKILLER

6. A regisztrációs adatbázis alábbi kulcsához új értékeket ad hozzá:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options

7. Módosítja a Windows hosts állományát, amelyhez új bejegyzéseket fűz hozzá.

8. Egy előre meghatározott távoli szerverről különböző programokat tölt le, amelyeket el is indít.

9. Értesíti a terjesztőit a fertőzött számítógép legfontosabb jellemzőiről.

A hír megjelenését a Biztonságportál támogatta.