Az Alureon trójai programok családjának "FK" betűjelű variánsa tulajdonságait tekintve értelemszerűen sokban hasonlít az elődjeire. Ennek megfelelően egy viszonylag funkciógazdag károkozóról van szó, amelynek elsődleges célja, hogy bizalmas adatokat gyűjtsön össze, illetve szivárogtasson ki. A trójai a ki- és a bemenő hálózati adatforgalmat kémleli, és elsősorban felhasználóneveket, illetve jelszavakat igyekszik megszerezni.

Az Isidor Biztonsági Központ közleményéből kiderül, hogy az Alureon.FK manipulálja a fertőzött számítógépek DNS-beállításait, amivel különféle nemkívánatos átirányításokat képes végrehajtani. Eközben értesíti a terjesztőit az áldozatául esett rendszerek legfontosabb adatairól, és nyit egy hátsó kaput, amelyen keresztül parancsokat fogad, illetve további, kártékony állományokat tölt le.

A trójai érdekessége, hogy a Windows nyomtatási sorát kezelő szolgáltatáshoz tartozó fájlokat fertőzi meg.

Amikor az Alureon.FK trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
c:/documents and settings/administrator/local settings/temp/[véletlenszerű karakterek].tmp
c:/documents and settings/administrator/local settings/temp:winupd.exe

2. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzést:
HKCU/software/microsoft/windows/currentversion/run/winupd="c:/documents and settings/administrator/local settings/temp:winupd.exe"

3. Létrehozza az alábbi állományt:
%windir%/temp/8.tmp

4. A regisztrációs adatbázishoz hozzáfűzi a következő értéket:
HKLM/system/currentcontrolset/services/[véletlenszerű karakterek]/imagepath="%windir%/temp/8.tmp"

5. Megfertőzi a Windows azon állományait, amelyek a Nyomtatási sorkezelő (Nyomtatási várólista) szolgáltatáshoz tartoznak.

6. Csatlakozik egy távoli szerverhez.

7. Értesíti a terjesztőit a fertőzött számítógép legfontosabb adatairól.

8. Konfigurációs állományokat tölt le egy távoli kiszolgálóról.

9. Manipulálja a DNS-beállításokat.

10. Különböző fájlokat tölt le az interneten keresztül.

11. Fogadja a támadók parancsait egy hátsó kapun keresztül.

12. Folyamatosan figyelemmel kíséri a hálózati adatforgalmat, és bizalmas adatokat gyűjt össze.

-vége-

A hír megjelenését a Biztonságportál támogatta.