Bugnraw, a bogaras trójai

A Bugnraw trójai meglehetősen látványos módosításokat képes végezni a Windows operációs rendszerekben, miközben azokat további kártevőkkel halmozza el.

A Bugnraw trójai számos fájlt hoz létre a kiszemelt számítógépeken, amelyeket ráadásul véletlenszerűen generált karakterekből összeállított fájlnevekkel lát el. A trójai nem tartozik a rejtőzködő kártékony programok közé, hiszen különféle — meglehetősen szembetűnő — képernyővédőket telepít, és állít be. Ennek következtében a felhasználó PC-jén hamis biztonsági figyelmeztetések, képernyőn futkosó bogarak és kékhalált “idéző” képek jelenhetnek meg.

A kártékony program további problémás tulajdonsága, hogy a Windowsban korábban esetlegesen létrehozott rendszer-visszaállítási pontokat eltávolítja, és egy sajátot hoz létre, amely már a fertőzött állapotokat tükrözi.

A Bugnraw trójai legfőbb célja azonban nem a felhasználók bosszantása, hanem egyéb más jellegű kártékony programok terjesztése, amelyeket előre meghatározott távoli szerverekről tölt le, majd telepít.

Amikor a Bugnraw trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
   %System%\[véletlenszerű fájlnév].exe
   %System%\[véletlenszerű fájlnév].bmp
   %System%\[véletlenszerű fájlnév].scr
   %Temp%\.tt[véletlenszerű fájlnév].tmp.vbs
2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ =
   “%System%\[véletlenszerű fájlnév].exe”
3. Megváltoztatja a Windowsba beállított képernyőkímélőt. Ezzel eléri, hogy a fertőzött számítógép képernyőjén különféle hamis biztonsági üzenetek, mozgó bogarak és kék halált “szimuláló” képek jelenjenek meg.
4. A regisztrációs adatbázisban létrehozza a következő bejegyzéseket:
   HKU\[SID]\Control Panel\Desktop\Wallpaper =
   “%System%\[véletlenszerű fájlnév].bmp”
   HKU\[SID]\Control Panel\Desktop\ConvertedWallpaper =
   “%System%\[véletlenszerű fájlnév].bmp”
   HKU\[SID]\Control Panel\Desktop\OriginalWallpaper =
   “%System%\[véletlenszerű fájlnév].bmp”
   HKU\[SID]\Control Panel\Desktop\WallpaperStyle = “2”
5. A regisztrációs adatbázisban módosítja az alábbi értékeket:
   HKU\[SID]\Control Panel\Desktop\SCRNSAVE.EXE =
   “%System%\[véletlenszerű fájlnév].scr”
   HKU\[SID]\Software\Sysinternals\BlueScreen
   HKU\[SID]\Software\Sysinternals\Bluescreen Screen Saver
   HKU\[SID]\Software\Sysinternals\Bluescreen Screen Saver\
   EulaAccepted = 0x00000001
6. Készít egy rendszer-visszaállítási pontot a Windowsban. A korábban létrehozottakat pedig letörli.
7. Különböző kártékony fájlokat tölt le az Interneten keresztül. Ezek egyéb vírusokhoz, trójai programokhoz valamint férgekhez tartozhatnak.