Kelihos trójai: a távvezérelt spammelő

A Kelihos.B trójai alapvetően két feladatot lát el. Egyrészt nagy mennyiségű kéretlen elektronikus levelet küld ki a fertőzött rendszerekről. Az ehhez szükséges e-mail címeket a PC-n található különféle kiterjesztésű állományokból gyűjti össze, illetve távoli szerverekről olyan információkat (például SMTP kiszolgáló címeket) tölt le, amelyek révén a spammelést végre tudja hajtani.

Az Isidor Biztonsági Központ közleménye szerint a trójai másik feladata az adatlopás. Ehhez a kártékony program folyamatosan monitorozza a hálózati adatforgalmat, és abból elsősorban FTP, SMTP és POP3 kiszolgálókhoz tartozó hitelesítési adatokat igyekszik kinyerni. Amennyiben sikerül ráakadnia ilyen adatokra, akkor azokat továbbítja terjesztői felé.

A Kelihos.B további veszélye, hogy egy hátsó kaput is létesít a számítógépeken.

Amikor a Kelihos.B trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a számítógépen.

2. Létrehoz egy véletlenszerű fájlnévvel ellátott állományt.

3. A regisztrációs adatbázishoz hozzáadja a következő értéket:
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/SmartIndex="[a trójai elérési útvonala]"

4. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzéseket:
HKCU/Software/Google/AppID="[...]"
HKCU/Software/Google/ID="0x00000050"
HKCU/Software/Google/ID2="..."
HKCU/Software/Google/ID3="..."

5. Internete keresztül csatlakozik egy távoli szerverhez.

6. Nyit egy hátsó kaput, és a 80-as TCP porton keresztül fogadja a terjesztői parancsait.

8. Különböző kiterjesztésű állományokban e-mail címeket keres.

7, Kéretlen elektronikus leveleket küld nagy mennyiségben. Az ehhez szükséges információkat egy távoli szerverről tölti le.

8. Folyamatosan monitorozza a hálózati adatforgalmat.

9. FTP, POP3 és SMTP kiszolgálókhoz tartozó hitelesítési információkat gyűjt össze, majd szivárogtat ki.

A hír megjelenését a Biztonságportál támogatta.