Megjelent a Ryknos trójai legújabb variánsa, amely a Sony egyes CD lemezein található rootkit programot használja fel arra, hogy elrejtőzzön a fertőzött számítógépeken.

A Ryknos.B trójai legveszélyesebb tulajdonsága, hogy nagyon hatásosan tud elrejtőzni a fertőzött PC-ken. Ezt elsősorban azzal éri el, hogy a Sony egyes CD lemezein található rootkit program mögé rejtőzik el, így sokszor még a víruskeresők számára is láthatatlan tud maradni. A trójaival szembeni legjobb védekezésnek a megelőzés számít, ugyanis ha a PC-re rákerült, akkor már nagyon nehezen írtható.

A Ryknos.B a fertőzött számítógépeken egy hátsó kaput nyit, amelyen keresztül a támadók információkhoz juthatnak, valamint fájlokat tölthetnek le, illetve futtathatnak.

A Ryknos.B további ismert nevei: Troj/Stinx-F [Sophos], BKDR_BREPLIBOT.D [Trend Micro], Breplibot.C [F-Secure].

Amikor a Ryknos.B elindul, akkor az alábbi műveleteket hajtja végre:

1. Bemásolja magát a Windows System könyvtárába $sys$xp.exe néven.

2. A Sony CD-ken található XCP szoftvert felhasználva elrejti azokat a módosításokat, amelyeket a regisztrációs adatbázisban végrehajt.

3. Létrehoz két mutexet annak érdekében, hogy egyszerre csak egy példányban fusson.

4. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV ersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVe rsion\Run
kulcsához hozzáadja a
“$sys$cmp” = “$sys$xp.exe” értéket.

5. Egy értesítést küld a 8080-as TCP porton keresztül.

6. Felveszi magát a Windows beépített tűzfalához tartozó megbízható alkalmazások listájába.

7. IRC-n keresztül nyit egy hátsó kaput, amelyen keresztül a támadók az alábbi műveleteket hajthatják végre:
– a fertőzött PC-k rendszerinformációinak összegyűjtése
– fájlok letöltése és végrehajtása.