A Windows belügyei iránt érdeklődik a Lolyda trójai

A Lolyda.BF trójai a bizalmas adatokat kiszivárogtató kártékony programok közé sorolható. A trójai ugyanis rendszerinformációkat valamint egyéb bizalmas adatokat tölt fel a vírusterjesztők szerverére. A számítógépes károkozó ezek mellett online játékokhoz tartozó információkat igyekszik kifürkészni.

Az Isidor Biztonsági Központ szerint a Lolyda.BF egyes rendszerfájlok átnevezését követően összegyűjti a számára fontos rendszerinformációkat, majd képernyőképeket készít. Mivel a trójai az operációs rendszer egyes állományait nevezi át, illetve írja felül, ezért a felismerése megfelelően frissített védelmi alkalmazások nélkül nehézségekbe ütközhet.

A Lolyda.BF rendszeresen konfigurációs fájlokat tölt le a támadók szerveréről, és ezek alapján végzi a különféle tevékenységeit, illetve az adatgyűjtést.

Amikor a Lolyda.BF trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
%TEMP%LOGO.EXE
%TEMP%CAP.EXE
vagy
%ROOT%LOGO.EXE
%ROOT%CAP.EXE

Egyes esetekben a trójai véletlenszerűen generált fájlneveket és .dat kiterjesztést is alkalmaz.

2. Átnevezi a következő állományokat:
%System%ksuser.dll (új fájlnév: YUksuser.dll)
%System%midimap.dll (új fájlnév: YUmidimap.dll)
%System%comres.dll (új fájlnév: YUcomres.dll)

3. A Windows egyik rendszerkönyvtárába bemásolja a következő fájlokat:
%System%dllcacheksuser.dll
%System%dllcachemidimap.dll
%System%dllcachecomres.dll
%System%sysapp[véletlenszerű karakterek].dll

4. Leállítja a cryptsvc nevű biztonsági szolgáltatást.

5. Leállítja az alábbi folyamatokat, amennyiben azok léteznek:
360TRAY.EXE
RSTRAY.EXE

6. Rendszerinformációkat (számítógép neve, felhasználónevek, MAC-címek, stb.) gyűjt össze, majd azokat kiszivárogtatja a terjesztői számára.