Válassza az Oldal lehetőséget

Leütésre vár a Qipian trójai

Leütésre vár a Qipian trójai

A Qipian trójai folyamatosan naplózza a billentyűleütéseket, és ezáltal igyekszik bizalmas adatokhoz hozzáférni.

A Qipian trójai célja, hogy minél több bizalmas adatot szivárogtasson ki a fertőzött számítógépekről. Ennek érdekében egy billentyűzetfigyelő komponenst telepít a PC-re, majd egy — a Windows System könyvtárában létrehozott — állományba folyamatosan naplózza a felhasználó által bevitt karaktereket. Amennyiben sikerül adatokat gyűjtenie, akkor rendszeres időközönként feltölti a megszerzett információkat tartalmazó állományt egy előre meghatározott weboldalra.

Leütésre vár a Qipian trójai

A trójai többek között .exe, .asf valamint .wmv kiterjesztésű állományokban rejtőzik el. Mielőtt elkezdené a bizalmas adatok gyűjtögetését azelőtt rengeteg bejegyzést hoz létre a Windows regisztrációs adatbázisában. Ezzel különféle szolgáltatásokhoz tartozó beállításokat módosít.

Amikor a Qipian trójai elindul, akkor az alábbi műveleteket hajtja végre:

  1. Létrehozza a következő fájlokat:
    %System%\[eredeti fájlnév].exe
    %System%\[eredeti fájlnév].asf
    %System%\[eredeti fájlnév].dfg
    %System%\[eredeti fájlnév].wmv
    %System%\[véletlenszerű karakterek].dat
  2. A regisztrációs adatbázisban létrehozza az alábbi bejegyzéseket:
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MESSENGER\0
    000\Control”NewlyCreated” = “0”
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MESSENGER\0
    000\Control”ActiveService”
    = “Messenger”
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MESSENGER\0
    000″Service” = “Messenger”
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MESSENGER\0
    000″Legacy” = “1”
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MESSENGER\0
    000″ConfigFlags” = “0”
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MESSENGER\0
    000″Class” = “LegacyDriver”
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MESSENGER\0
    000″ClassGUID” = “{8ECC055D-047F-11D1-A537-0000F8753ED1}”
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MESSENGER\0
    000″DeviceDesc” = “Messenger”
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MESSENGER”
    NextInstance” = “1”
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Messenger\Enum\
    “0” = “Root\LEGACY_MESSENGER\0000”
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Messenger\Enum\
    “Count” = “1”
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Messenger\Enum\
    “NextInstance” = “1”
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
    LEGACY_MESSENGER\0000\Control”NewlyCreated” = “0”
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
    LEGACY_MESSENGER\0000\Control”ActiveService” = “Messenger”
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
    LEGACY_MESSENGER\0000″Service” = “Messenger”
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
    LEGACY_MESSENGER\0000″Legacy” = “1”
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
    LEGACY_MESSENGER\0000″ConfigFlags”= “0”
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
    LEGACY_MESSENGER\0000″Class” = “LegacyDriver”
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
    LEGACY_MESSENGER\0000″ClassGUID”
    = “{8ECC055D-047F-11D1-A537-0000F8753ED1}”
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
    LEGACY_MESSENGER\0000″DeviceDesc” = “Messenger”
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
    LEGACY_MESSENGER”NextInstance” = “1”
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Enum\
    “0” = “Root\LEGACY_MESSENGER\0000”
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Enum\
    “Count” = “1”
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Enum\
    “NextInstance” = “1”
  3. A regisztrációs adatbázisban módosítja a következő kulcsokat:
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Messenger”Type” = “110”
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Messenger”Start” = “2”
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Messenger\
    “ImagePath” = “C:\WINDOWS\system32\[eredeti fájlnév].exe -k netsvcs”
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\
    “Type” = “110”
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\
    “Start” = “2”
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\
    “ImagePath” = “C:\WINDOWS\system32\[eredeti fájlnév].exe -k netsvcs”
  4. Folyamatosan naplózza a billentyűleütéseket. Ezeket az alábbi állományba menti el:
    %System%\[eredeti fájlnév].hke
  5. Egy előre meghatározott weboldalra felölti az összegyűjtött adatokat

A szerzőről