Alattomosan támad a Kirad trójai

A Kirad.A trójai a fertőzött PC-ken egy hátsó kaput nyit, és ezzel próbálja segíteni a támadók tevékenységét.

A Kirad.A trójai sok esetben olyan alkalmazások formájában terjed, amelyek látszólag Microsoft szoftverként települnek fel a számítógépekre. A trójai számos fájlt hoz létre a fertőzött rendszereken, amelyek közül többet véletlenszerű névvel lát el. Ezt követően módosítja a regisztrációs adatbázist, amivel eléri többek között, hogy a Windows újraindulásakor minden esetben automatikusan be tudjon töltődni.

A Kirad.A felismerése sokszor nem egyszerű feladat, ugyanis a trójai a Windows winlogon.exe folyamata mögé rejtőzik el, sőt még egy rootkit komponenst is telepít annak érdekében, hogy láthatatlanul működhessen. A trójai a fertőzött számítógépeken egy hátsó kaput nyit, majd várakozik a támadók parancsaira, akik számos kártékony műveletet hajthatnak végre a sebezhetővé vált rendszereken.

Amikor a Kirad.A trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
   C:\Settings\arm65.dll
   C:\Settings\desktop.ini
   %Windows%\Temp\.tmp
   %Windows%\Temp\.sys
   %Windows%\Temp\.tmp
2. Megfertőzi a winlogon.exe folyamatot.
3. A regisztrációs adatbázishoz hozzáadja a következő bejegyzéseket:
   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\arm65reg
   HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_APPMGMT\
   NextInstance = 00000001
   HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_APPMGMT\0000\
   Service = “AppMgmt”
   HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_APPMGMT\0000\
   Legacy = 00000001
   HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_APPMGMT\0000\
   ConfigFlags = 00000000
   HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_APPMGMT\0000\
   Class = “LegacyDriver”
   HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_APPMGMT\0000\
   ClassGUID = “{8ECC055D-047F-11D1-A537-0000F8753ED1}”
   HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_APPMGMT\0000\
   DeviceDesc = “AppMgmt”
   HKLM\SOFTWARE\Microsoft\iInstall = “r”
4. Egy véletlenszerűen kiválasztott porton keresztül nyit egy hátsó kaput, majd várakozik a támadók parancsaira.
5. Interneten keresztül letölt egy kártékony fájlt.
6. Telepít egy rootkit komponenst, amelynek révén megpróbál elrejtőzni a fertőzött rendszereken.