Rendszerfájlokat fertőz a Bamital.Q vírus

A Bamital kártékony program eddigi variánsai elsősorban arról híresültek el, hogy meglehetősen alaposan voltak képesek monitorozni a fertőzött rendszerek hálózati adatforgalmát. Emellett - például a Windows Hosts állományának manipulálásával - elérték, hogy az áldozatukul esett rendszerekről ne lehessen hozzáférni a biztonsági cégek weboldalaihoz, illetve szervereihez. Emiatt a víruskeresők frissítése is nehézségekbe ütközött.

Az Isidor Biztonsági Központ közleménye szerint a Bamital legújabb, "Q" betűjelű variánsa az elődjeihez képest még agresszívabb lett. Ez elsősorban abban nyilvánul meg, hogy a vírus a Windows számos fájlját is megfertőzi, ami a rendszerek működésére igencsak kedvezőtlen hatással van. A vírus arról is gondoskodik, hogy az operációs rendszer helyreállítására szolgáló funkciókat letiltsa, és ezzel nehezítse meg a számítógépek vírusmentesítését. A helyreállítási munkákat némileg megkönnyítheti, hogy mielőtt a vírus megfertőzi a Windows működéséhez elengedhetetlen állományokat, azelőtt azokból készít egy-egy másolatot.

Amikor a Bamital.Q trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományt:
%UserProfile%/Local Settings/Application Data/MicrosoftNT/winserver.exe

2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKCU/Software/Microsoft/Windows/CurrentVersion/Explorer/User Shell Folders/Startup="%UserProfile%/Local Settings/Application Data/MicrosoftNT"

3. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a fertőzött rendszeren.

4. Megváltoztatja a regisztrációs adatbázis következő kulcsában szereplő értékeket:
HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/LowRegistry/

5. Másolatot készít az alábbi állományokból:
%SystemRoot%/dllcache/explorer.exe -> %SystemRoot%/expl.dat
%SystemRoot%/dllcache/svchost.exe -> %SystemRoot%/system32/svch.dat
%SystemRoot%/dllcache/winlogon.exe -> %SystemRoot%/system32/winl.dat
%SystemRoot%/user32.dll - > %UserProfile%/Documents/kbd32.dll

6. Megfertőzi a következő állományokat:
%SystemRoot%/dllcache/explorer.exe
%SystemRoot%/dllcache/svchost.exe
%SystemRoot%/dllcache/winlogon.exe
%SystemRoot%/explorer.exe
%SystemRoot%/system32/svchost.exe
%SystemRoot%/system32/winlogon.exe
%SystemRoot%/user32.dll

7. Különféle rendszerfolyamatokat fertőz meg.

8. Kikapcsolja a Windows rendszerhelyreállító szolgáltatását.

9. A regisztrációs adatbázisból kitörli a következő értéket:
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/SystemRestore/DisableSR

10. A regisztrációs adatbázisban módosítja az alábbi bejegyzést:
HKLM/SYSTEM/CurrentControlSet/Services/sr/Parameters/DisableSR="1"

11. Csatlakozik egy távoli szerverhez.

12. Öt másodpercenként HTTP-kérést küld a "Google.com"-ot kiszolgáló szerverek felé.

-vége-

A hír megjelenését a Biztonságportál támogatta.