Káros weblapok letöltését kényszeríti ki az Elvdeng trójai

Az Elvdeng.D trójai készítői böngészőalapú támadásokra igyekeznek felhasználni a szerzeményüket. A kártékony program ugyanis a webböngészők folyamatos megfigyelésén kívül arra is alkalmas, hogy különböző weblapok letöltését kényszerítse ki. Mindezt egy konfigurációs állomány alapján teszi, amely többek között tartalmazza azon webhelyek listáját, amelyet a trójainak meg kell jelenítenie.

Az Isidor Biztonsági Központ jelentése szerint az Elvdeng.D tulajdonképpen böngészőfüggetlenül képes végezni a dolgát. Így az Internet Explorer, a Firefox, a Chrome, az Opera, stb. esetében is végre tudja hajtani a számára kijelölt feladatokat. A trójai több parancsikont is létrehoz többek között a Windows asztalán. A parancsikonokhoz egy narancssárga színű, kínai írásjelet ábrázoló ikont rendel hozzá.

Az Elvdeng.D a Program Files könyvtárban létrehozott lvegned nevű mappába másolja be a saját állományait.

Amikor az Elvdeng.D trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehoz egy lvegned nevű könyvtárat a Program Files mappába.

2. Létrehozza a következő állományokat:
%ProgramFiles%lvegnedsstatic.exe
%ProgramFiles%lvegnedscvhost.exe
%ProgramFiles%lvegnedsysinit.exe
%ProgramFiles%lvegnedhook.dll
%ProgramFiles%lvegnedconfig.ini
%ProgramFiles%lvegneduninstall.exe
%ProgramFiles%lvegneduninstall.dat
%ProgramFiles%lvegnedtaobao.ico

3. Gondoskodik arról, hogy ha a felhasználó egy .ghi kiterjesztésű állományt nyit meg, akkor a sysinit.exe elinduljon.

4. A regisztrációs adatbázishoz hozzáfűzi a következő értéket:
HKLMSOFTWAREClasses.ghishellopencommand(default) ="%program_files%lvegnedsysinit.exe"

5. Elindítja az sstatic.exe és az scvhost.exe állományokat.

6. Létrehoz egy parancsikont:
%ProgramFiles%iedw.lnk

7. Amennyiben a fertőzött Windows kínai nyelvű, akkor létrehozza a következő fájlt:
C:Documents and SettingsAll Users??????????iedw.lnk

8. Megfertőzi az explorer.exe folyamatot.

9. Megváltoztatja az Internet Explorer kezdőoldalát egy config.ini állomány alapján.

10. A regisztrációs adatbázisban módosítja az alábbi bejegyzést:
HKCUSoftwareMicrosoftInternet ExplorerMainStart Page=[URL]

11. Folyamatosan figyelemmel kíséri a webböngészők működését, és megpróbál azokban különféle weboldalakat letölteni.

12. Esetenként megnyitja az alapértelmezett böngészőt.

13. Egy parancsikont hoz létre a Windows Asztalon, amelyhez egy taobao.ico nevű ikonfájlt is hozzárendel.

A hír megjelenését a Biztonságportál támogatta.