Backage trójai

 E-mail
IWIWSatartlapGoogle bookmarkTwitterLinkter.huFacebookBlogter.hu
Vírus Hírek

Egyszerűsége ellenére kockázatokkal teli a Backage trójai

A Backage.C trójai a Windows egyes rendszerállományainak módosításával képes hozzájárulni a fertőzött számítógépek kiszolgáltatottá tételéhez.

A Backage.C trójai készítői nem bonyolódtak komoly technikai eljárásokba, amikor elkészítették a kártékony programjukat. Ennek megfelelően az meglehetősen egyszerű lett. Ugyanakkor a trójai képességeit és az általa jelentett kockázatokat korántsem célszerű lebecsülni, ugyanis a kártevő meglehetősen komoly károk forrásául szolgálhat.

Az Isidor Biztonsági Központ jelentése szerint a Backage.C a Windows egyes INI állományait manipulálja valamint a regisztrációs adatbázishoz ad hozzá néhány új bejegyzést annak érdekében, hogy a Windows minden egyes betöltődésekor automatikusan el tudjon indulni. A trójai legfontosabb feladata, hogy az általa megfertőzött rendszereken egy hátsó kaput létesítsen, amelyen keresztül az alábbi tevékenységek végrehajtására vehető rá:
- rendszerinformációk kiszivárogtatása
- billentyűleütések naplózása
- weboldalak letöltése
- képernyőbeállítások módosítása
- a számítógép újraindítása
- futó alkalmazások listájának létrehozása
- a tálca elrejtése vagy megjelenítése
- háttérkép megváltoztatása
- fájlok fogadása vagy küldés.

Amikor a Backage.C trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományt:
%windir%/Mskernel16.exe

2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:
HKCU/SOFTWARE/MICROSOFT/WINDOWS/CURRENTVERSION/Runonce/Internet Kernel="C:/windows/Mskernel16.exe"
HKCU/SOFTWARE/MICROSOFT/WINDOWS/CURRENTVERSION/RUN/Internet Kernel="C:/windows/Mskernel16.exe"
HKCU/SOFTWARE/Win/RUN/Internet Kernel="C:/windows/Mskernel16.exe"
HKLM/SOFTWARE/MICROSOFT/WINDOWS/CURRENTVERSION/RUN/Internet Kernel="C:/windows/Mskernel16.exe"
HKLM/SOFTWARE/MICROSOFT/WINDOWS/CURRENTVERSION/RUN/SERVICES/Internet Kernel="C:/windows/Mskernel16.exe"

3. Manipulálja a %windir%/win.ini állományt, amelyhez a következő sort fűzi hozzá:
run=Mskernel16.exe

4. Módosítja a C:/windows/System.ini fájlt, amelyhez az alábbi sort fűzi hozzá:
shell=Explorer.exe Mskernel16.exe

5. Nyit egy hátsó kaput a 334-es porton keresztül, és várakozik a támadók parancsaira.

6. Rendszerinformációkat gyűjt össze, amelyeket továbbít a terjesztői számára.

--vége--

Kristóf Csaba
2011. június 22., 08:25
A hír megjelenését a Biztonságportál támogatta.
< Előző   Következő >