Kémkedik a Vidoor trójai

A Vidoor.A trójai folyamatosan kémkedik a fertőzött rendszereken, és bizalmas adatokat szolgáltat ki azokról.

A Vidoor.A trójai elsősorban cserélhető, illetve hálózati meghajtókon keresztül terjed. A kártékony program minden — számára írható — adattároló gyökér könyvtárába egy bootsystem.exe és egy autorun.inf  nevű állományt hoz létre, és ezeket párhuzamosan futtatja. Ezzel eléri azt, hogy ha a felhasználó valamelyik folyamatot leállítja, akkor a másik újraindítja azt, így a trójai folyamatosan működőképes marad. A kártevő legfontosabb feladata, hogy folyamatosan figyelje a rendszert, és bizalmas adatokat gyűjtögessen. Ennek érdekében többek között az alábbi műveleteket végzi:

• billentyűleütések figyelése
• folyamatok listázása
• folyamatok leállítása
• a Windows Intéző leállítása
• fájlok listázása és másolása
• összegyűjtött információk interneten keresztül történő továbbítása

Amikor a Vidoor.A trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
   C:\Directory\system.exe
   C:\Windows\System32\\\pc.exe
2. Mind a két fenti .exe fájlt elindítja. Az ezekhez tartozó folyamatok egymást figyelik, és ha az egyik leáll, akkor a másik azonnal újraindítja azt.
3. A regisztrációs adatbázisban módosítja a következő bejegyzéseket:
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\(Default)
   = “C:\Windows\System32\\\pc.exe”
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Cliente
   = “C:\Windows\System32\\\pc.exe”
4. Megpróbál cserélhető és hálózati meghajtókon keresztül terjedni. Minden adattároló gyökér könyvtárába egy bootsystem.exe és egy autorun.inf nevű állományt hoz létre.
5. Folyamatosan figyeli a rendszer működését és adatokat gyűjtöget.
6. Az összegyűjtött információkat interneten keresztül továbbítja a támadók szervereire.