Háttérképeket kedvelő trójai
A Blusod trójai hamis üzenetekkel, és a Windows háttérképének módosításával hívja fel magára a figyelmet.
A Blusod trójai nem törekszik láthatatlan működésre. A kártékony program ugyanis megváltoztatja a Windows Asztalának háttérképét, amelyen egy BMP formátumú képet helyez el. Ezen egy üzenet olvasható, amelyben közli a felhasználóval, hogy a számítógépe egy kémprogrammal fertőződött meg, ezért telepítsen fel egy vírus- vagy kémprogramvédelmi szoftvert. A trójai arról is gondoskodik, hogy egyszerű módszerekkel ne lehessen helyreállítani az Asztalon történő módosításokat. Kikapcsolja ugyanis a Windows rendszervisszaállító szolgáltatását, valamint blokkol egyes képernyőbeállítási lehetőségeket.
A Blusod legfőbb veszélye, hogy előre meghatározott weboldalakról további kártékony programokat tölt le.
Amikor a Blusod trójai elindul, akkor az alábbi műveleteket hajtja végre:
- Létrehozza a következő fájlokat:
%UserProfile%\Local Settings\Temp\.tt[véletlenszerű karakterek].tmp
%UserProfile%\Local Settings\Temp\.tt[véletlenszerű karakterek].tmp
%System%\system32\lph[véletlenszerű karakterek].exe
%System%\system32\blph[véletlenszerű karakterek].scr - A regisztrációs adatbázishoz hozzáfűzi az alábbi értéket:
HKEY_CURRENT_USER\Software\Sysinternals\Bluescreen Screen Saver\
“EULAAccepted” = “1” - Létrehozza a következő állományt, amelynek révén letiltja a Windows rendszerhelyreállító szolgáltatásait:
%UserProfile%\Local Settings\Temp\.tt[véletlenszerű karakterek].tmp.vbs - A Windows System32 könyvtárába bemásol egy véletlenszerű névvel és bmp kiterjesztéssel rendelkező képfájlt. Ezen a képen a következő szöveg olvasható:
“Warning!
Spyware detected on your computer!
Install an antivirus or spyware remover to clean your computer.” - A regisztrációs adatbázis módosításával megváltoztatja az Asztal háttérképét, majd elérhetetlenné tesz egyes képernyőbeállításokat.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
“lph[RANDOM CHARACTERS]” = “%System%\lph[véletlenszerű karakterek].exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier\
“InstallationID” = “906b1f2d-66b5-439e-8c02-9d08858fe527”
HKEY_CURRENT_USER\Control Panel\Desktop”ConvertedWallpaper” =
“%System%\ph[véletlenszerű karakterek].bmp”
HKEY_CURRENT_USER\Control Panel\Desktop”SCRNSAVE.EXE” =
“%System%\blph[véletlenszerű karakterek].scr”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
\System”NoDispBackgroundPage” = “0”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
\System”NoDispScrSavPage” = “0” - A regisztrációs adatbázisban módosítja az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore”DisableSR” = “0”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sr”Start” = “0”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sr”ImagePath” =
“*system32\DRIVERS\sr.sys*”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sr\Parameters\
“FirstRun” = “0”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr”Start” = “0”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr”ImagePath” =
“*system32\DRIVERS\sr.sys*”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr\Parameters\
“FirstRun” = “0”
HKEY_CURRENT_USER\Control Panel\Colors”Background” = “0 0 255”
HKEY_CURRENT_USER\Control Panel\Desktop”ScreenSaveActive” = “1”
HKEY_CURRENT_USER\Control Panel\Desktop”TileWallpaper” = “0” - Interneten keresztül további kártékony fájlokat tölt le.
