A Kirad.A trójai a fertőzött PC-ken egy hátsó kaput nyit, és ezzel próbálja segíteni a támadók tevékenységét.

A Kirad.A trójai sok esetben olyan alkalmazások formájában terjed, amelyek látszólag Microsoft szoftverként települnek fel a számítógépekre. A trójai számos fájlt hoz létre a fertőzött rendszereken, amelyek közül többet véletlenszerű névvel lát el. Ezt követően módosítja a regisztrációs adatbázist, amivel eléri többek között, hogy a Windows újraindulásakor minden esetben automatikusan be tudjon töltődni.

A Kirad.A felismerése sokszor nem egyszerű feladat, ugyanis a trójai a Windows winlogon.exe folyamata mögé rejtőzik el, sőt még egy rootkit komponenst is telepít annak érdekében, hogy láthatatlanul működhessen. A trójai a fertőzött számítógépeken egy hátsó kaput nyit, majd várakozik a támadók parancsaira, akik számos kártékony műveletet hajthatnak végre a sebezhetővé vált rendszereken.

Alattomosan támad a Kirad trójai

Amikor a Kirad.A trójai elindul, akkor az alábbi műveleteket hajtja végre:

  1. Létrehozza a következő fájlokat:
    C:\Settings\arm65.dll
    C:\Settings\desktop.ini
    %Windows%\Temp\.tmp
    %Windows%\Temp\.sys
    %Windows%\Temp\.tmp
  2. Megfertőzi a winlogon.exe folyamatot.
  3. A regisztrációs adatbázishoz hozzáadja a következő bejegyzéseket:
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\arm65reg
    HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_APPMGMT\
    NextInstance = 00000001
    HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_APPMGMT\0000\
    Service = “AppMgmt”
    HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_APPMGMT\0000\
    Legacy = 00000001
    HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_APPMGMT\0000\
    ConfigFlags = 00000000
    HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_APPMGMT\0000\
    Class = “LegacyDriver”
    HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_APPMGMT\0000\
    ClassGUID = “{8ECC055D-047F-11D1-A537-0000F8753ED1}”
    HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_APPMGMT\0000\
    DeviceDesc = “AppMgmt”
    HKLM\SOFTWARE\Microsoft\iInstall = “r”
  4. Egy véletlenszerűen kiválasztott porton keresztül nyit egy hátsó kaput, majd várakozik a támadók parancsaira.
  5. Interneten keresztül letölt egy kártékony fájlt.
  6. Telepít egy rootkit komponenst, amelynek révén megpróbál elrejtőzni a fertőzött rendszereken.