Prefsap trójai: egyszerű és kíváncsi

A Prefsap.B trójai nagyon egyszerű felépítéssel rendelkezik, ennek ellenére “ügyesen” képes felhasználóneveket és jelszavakat megszerezni.

A Prefsap.B trójairól több biztonsági cég is beszámolt. Így például a CA, a Trend Micro és a Kaspersky is. A kártékony program jellegzetessége, hogy a kiszemelt számítógépeken mindössze három fájlt hoz létre, és nem végez egyéb telepítési műveleteket. A trójai csak arról gondoskodik, hogy az Internet Explorer, az Opera, valamint a Mozilla Firefox webböngészők indításakor automatikusan be tudjon töltődni.

A Prefsap.B folyamatosan monitorozza az FTP-kapcsolatokat. Amennyiben a felhasználó FTP-n keresztül csatlakozik egy távoli szerverhez, akkor a trójai megpróbálja megszerezni a kapcsolódáshoz használt felhasználónevet és jelszót.

Amikor a Prefsap.B trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
   C:\Program Files\Internet Explorer\setupapi.dll
   C:\Program Files\Opera\setupapi.dll
   C:\Program Files\Mozilla Firefox\setupapi.dll
2. Amikor az Internet Explorer, az Opera vagy a Mozilla Firefox elindul, akkor a trójai is aktivizálódik.
3. Folyamatosan monitorozza az FTP-kapcsolatokat.
4. Felhasználóneveket és jelszavakat gyűjt össze.