Bugnraw, a bogaras trójai
A Bugnraw trójai meglehetősen látványos módosításokat képes végezni a Windows operációs rendszerekben, miközben azokat további kártevőkkel halmozza el.
A Bugnraw trójai számos fájlt hoz létre a kiszemelt számítógépeken, amelyeket ráadásul véletlenszerűen generált karakterekből összeállított fájlnevekkel lát el. A trójai nem tartozik a rejtőzködő kártékony programok közé, hiszen különféle — meglehetősen szembetűnő — képernyővédőket telepít, és állít be. Ennek következtében a felhasználó PC-jén hamis biztonsági figyelmeztetések, képernyőn futkosó bogarak és kékhalált “idéző” képek jelenhetnek meg.
A kártékony program további problémás tulajdonsága, hogy a Windowsban korábban esetlegesen létrehozott rendszer-visszaállítási pontokat eltávolítja, és egy sajátot hoz létre, amely már a fertőzött állapotokat tükrözi.
A Bugnraw trójai legfőbb célja azonban nem a felhasználók bosszantása, hanem egyéb más jellegű kártékony programok terjesztése, amelyeket előre meghatározott távoli szerverekről tölt le, majd telepít.
Amikor a Bugnraw trójai elindul, akkor az alábbi műveleteket hajtja végre:
- Létrehozza a következő fájlokat:
%System%\[véletlenszerű fájlnév].exe
%System%\[véletlenszerű fájlnév].bmp
%System%\[véletlenszerű fájlnév].scr
%Temp%\.tt[véletlenszerű fájlnév].tmp.vbs - A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ =
“%System%\[véletlenszerű fájlnév].exe” - Megváltoztatja a Windowsba beállított képernyőkímélőt. Ezzel eléri, hogy a fertőzött számítógép képernyőjén különféle hamis biztonsági üzenetek, mozgó bogarak és kék halált “szimuláló” képek jelenjenek meg.
- A regisztrációs adatbázisban létrehozza a következő bejegyzéseket:
HKU\[SID]\Control Panel\Desktop\Wallpaper =
“%System%\[véletlenszerű fájlnév].bmp”
HKU\[SID]\Control Panel\Desktop\ConvertedWallpaper =
“%System%\[véletlenszerű fájlnév].bmp”
HKU\[SID]\Control Panel\Desktop\OriginalWallpaper =
“%System%\[véletlenszerű fájlnév].bmp”
HKU\[SID]\Control Panel\Desktop\WallpaperStyle = “2” - A regisztrációs adatbázisban módosítja az alábbi értékeket:
HKU\[SID]\Control Panel\Desktop\SCRNSAVE.EXE =
“%System%\[véletlenszerű fájlnév].scr”
HKU\[SID]\Software\Sysinternals\BlueScreen
HKU\[SID]\Software\Sysinternals\Bluescreen Screen Saver
HKU\[SID]\Software\Sysinternals\Bluescreen Screen Saver\
EulaAccepted = 0x00000001 - Készít egy rendszer-visszaállítási pontot a Windowsban. A korábban létrehozottakat pedig letörli.
- Különböző kártékony fájlokat tölt le az Interneten keresztül. Ezek egyéb vírusokhoz, trójai programokhoz valamint férgekhez tartozhatnak.