Furcsa nevű szolgáltatásként fut a Zegost trójai

A Zegost trójai működését tekintve az egyszerűbb kártékony programok közé sorolható. Mindössze két állományt hoz létre a rendszereken, majd megfertőzi a Windows egyik rendszerfolyamatát. Ezzel eléri, hogy a Windows Feladatkezelőjében ne legyen látható, és ne keltsen feltűnést. Egy valamivel azonban mégis felhívhatja magára a figyelmet. Ez pedig nem más, mint hogy létrehoz egy Windows-os szolgáltatást, amelyet "hhhhhhhhhhhhhhh"-nak nevez el.

Az Isidor Biztonsági Központ szerint a Zegost legfontosabb feladata, hogy egy hátsó kaput nyisson a fertőzött számítógépeken. Ezzel kizárólag az a célja, hogy elősegítse kártékony kódok PC-kre való feljuttatását. A hátsó kapun keresztül ugyanis a támadók feltölthetnek tetszőleges kódokat, amelyeket később le is futtathatnak.

Amikor a Zegost trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
%ProgramFiles%/Common Files/lanmao.exe
%AllUsersProfile%/lmm.txt

2. A regisztrációs adatbázishoz hozzáfűzi az alábbi értéket:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/hhhhhh

3. Létrehoz egy Windows-os szolgáltatást, amelyet "hhhhhhhhhhhhhhh"-nak nevez el.

4. Megfertőzi az svchost.exe folyamatot.

5. Nyit egy hátsó kaput.

6. Lehetőséget biztosít arra, hogy a támadók fájlokat juttassanak fel a fertőzött rendszerre, és kártékony programokat futtassanak.

A hír megjelenését a Biztonságportál támogatta.