A Skype és a Google Talk nevével ékeskedik a Gatak trójai

A Gatak trójai alapjában véve egy meglehetősen egyszerű felépítésű és működésű kártékony program. A hagyományos, hátsó kapuk létesítésére alkalmas trójai programok közé tartozik, amelyek a fertőzött számítógépeket tudják kiszolgáltatottá tenni az internetes támadásokkal szemben.

A Gatak legfontosabb tulajdonsága, hogy vagy a Skype vagy a Google Talk alkalmazások nevének felhasználásával terjed. Amikor egy számítógépre felkerül, akkor ezen szoftverek, illetve szolgáltatások nevével hoz létre különböző könyvtárakat, amelyekbe bemásolja a saját állományait. Emellett pedig megfertőzi a Windows egyik rendszerfolyamatát, ami mögül végzi a kártékony tevékenységét.

Az Isidor Biztonsági Központ szerint a Gatak célja, hogy egy hátsó kaput nyisson a 80-as porton keresztül, és különböző tevékenységek elvégzését segítse elő a terjesztői számára.

Amikor a Gatak trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományt:
%UserProfile%/Application Data/Google Talk/googletalk.exe
%UserProfile%/Application Data/Skype/Phone/Skype.exe

2. Létrehozza az alábbi fájlt:
%UserProfile%/Application Data/Microsoft/[véletlenszerű karakterek]/[véletlenszerű karakterek]

3. A regisztrációs adatbázishoz hozzáadja a következő bejegyzéseket:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run/"googletalk" = "%UserProfile%/Application Data/Google Talk/googletalk.exe /autostart"
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run/"Skype" = "%UserProfile%/Application Data/Skype/Phone/Skype.exe/" /nosplash /minimized""

4. Megfertőzi az explorer.exe folyamatot.

5. A 80-as TCP porton keresztül csatlakozik egy távoli szerverhez.

6. Nyit egy hátsó kaput, és várakozik a támadók parancsaira.

-vége-

A hír megjelenését a Biztonságportál támogatta.