Rootkittel rejtőzik a Blazgel trójai

A Blazgel trójai a Windows egyik rendszerkönyvtárába másolja be a saját állományait. Többnyire olyan fájlneveket használ, amelyekből arra lehet következtetni, hogy inteles komponensek kerültek fel a számítógépre. A valóságban azonban ezek az állományok a trójaihoz tartoznak, csakúgy, mint azok a meghajtóprogramok, amelyek valójában rootkit funkcionalitással ruházzák fel a kártékony programot. Ennek révén a trójai képes elrejteni a saját fájljait, valamint a rendszereken végzett módosításait.

Az Isidor Biztonsági Központ közleménye kitér arra, hogy a Blazgel legfontosabb feladata egy hátsó kapu létesítése, amelyen keresztül a támadók szabadon hozzáférhetnek az érintett rendszerhez. A trójai további jellemzője, hogy letörli azt az állományt, amelynek révén eredetileg felkerül a számítógépre. Ezzel szintén a feltűnést próbálja elkerülni.

Amikor a Blazgel trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
%System%/Matrix.dll
%System%/Matrix.exe
%System%/IntelMatrix.exe
%System%/IntelMx.exe
%System%/IntelMSM.exe
%System%/winlogo.dll
%System%/chats.exe
%System%/scvosts.exe

2. Számos sys fájlt másol be a Windows egyik rendszerkönyvtárába az alábbiak szerint:
%System%/DRIVERS/IntelMatrix.sys
%System%/DRIVERS/IntelMx.sys
%System%/DRIVERS/IntelMSM.sys
%System%/DRIVERS/scvosts.sys

Ezek rootkit összetevőket tartalmaznak.

3. A regisztrációs adatbázisban létrehozza a következő kulcsot:
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services[drivernév]

4. Letörli azt a fájlt, amelynek révén felkerült a számítógépre.

5. Csatlakozik előre meghatározott távoli szerverekhez.

6. Nyit egy hátsó kaput, és várakozik a támadók parancsaira.

A hír megjelenését a Biztonságportál támogatta.