A Skype-ra összpontosít az R2d2 trójai

Az R2d2.A trójai kettős céllal kerülhet fel a rendszerekre. Egyrészt azokon egy hátsó kaput nyit, másrészt adatlopásból veszi ki a részét. A hátsó kapun keresztül a támadók módosíthatják a regisztrációs adatbázist, és fájlműveleteket végezhetnek. Ezáltal akár jelentősebb károkozást is véghezvihetnek.

Az Isidor Biztonsági Központ jelentése szerint az R2d2.A további kockázata, hogy többféle módon képes adatszivárgáshoz hozzájárulni. Egyrészt folyamatosan naplózza a billentyűleütéseket, másrészt képernyőképeket ment le. Ezek mellett felméri, hogy a fertőzött számítógépen megtalálható-e a Skype alkalmazás, és amennyiben igen, akkor azt is monitorozza. Az összegyűjtött adatokat pedig rendszeresen kiszivárogtatja a terjesztői számára.

Az R2d2.A egy rootkit komponenssel is rendelkezik, amellyel a jelenlétét igyekszik leplezni.

Amikor a R2d2.A trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományt:
%windir%/System32/mfc42ul.dll

2. A regisztrációs adatbázishoz hozzáfűzi az alábbi értéket:
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows/AppInit_DLLs="%windir%/System32/mfc42ul.dll"

3. Feltelepít egy rootkit komponenst, melynek állományát a következők szerint másolja fel a rendszerre:
%windir%/System32/winsys32.sys

4. Interneten keresztül csatlakozik egy távoli szerverhez.

5. Nyit egy hátsó kaput.

6. Folyamatosan naplózza a billentyűleütéseket.

7. Képernyőképeket készít.

8. Figyelemmel kíséri a Skype alkalmazás működését, amennyiben az fut a fertőzött rendszeren.

9. Kártékony fájlokat tölt le egy előre meghatározott távoli szerverről.

10. Az összegyűjtött adatokat kiszivárogtatja a terjesztői számára.

A hír megjelenését a Biztonságportál támogatta.