A Kirad.A trójai a fertőzött PC-ken egy hátsó kaput nyit, és ezzel próbálja segíteni a támadók tevékenységét.
A Kirad.A trójai sok esetben olyan alkalmazások formájában terjed, amelyek látszólag Microsoft szoftverként települnek fel a számítógépekre. A trójai számos fájlt hoz létre a fertőzött rendszereken, amelyek közül többet véletlenszerű névvel lát el. Ezt követően módosítja a regisztrációs adatbázist, amivel eléri többek között, hogy a Windows újraindulásakor minden esetben automatikusan be tudjon töltődni.
A Kirad.A felismerése sokszor nem egyszerű feladat, ugyanis a trójai a Windows winlogon.exe folyamata mögé rejtőzik el, sőt még egy rootkit komponenst is telepít annak érdekében, hogy láthatatlanul működhessen. A trójai a fertőzött számítógépeken egy hátsó kaput nyit, majd várakozik a támadók parancsaira, akik számos kártékony műveletet hajthatnak végre a sebezhetővé vált rendszereken.
Amikor a Kirad.A trójai elindul, akkor az alábbi műveleteket hajtja végre:
- Létrehozza a következő fájlokat:
C:\Settings\arm65.dll
C:\Settings\desktop.ini
%Windows%\Temp\.tmp
%Windows%\Temp\.sys
%Windows%\Temp\.tmp - Megfertőzi a winlogon.exe folyamatot.
- A regisztrációs adatbázishoz hozzáadja a következő bejegyzéseket:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\arm65reg
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_APPMGMT\
NextInstance = 00000001
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_APPMGMT\0000\
Service = “AppMgmt”
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_APPMGMT\0000\
Legacy = 00000001
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_APPMGMT\0000\
ConfigFlags = 00000000
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_APPMGMT\0000\
Class = “LegacyDriver”
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_APPMGMT\0000\
ClassGUID = “{8ECC055D-047F-11D1-A537-0000F8753ED1}”
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_APPMGMT\0000\
DeviceDesc = “AppMgmt”
HKLM\SOFTWARE\Microsoft\iInstall = “r” - Egy véletlenszerűen kiválasztott porton keresztül nyit egy hátsó kaput, majd várakozik a támadók parancsaira.
- Interneten keresztül letölt egy kártékony fájlt.
- Telepít egy rootkit komponenst, amelynek révén megpróbál elrejtőzni a fertőzött rendszereken.