Vírushíradó – Michael Jackson fényképe mögé rejtőzik a Zapchast trójai
A Zapchast.ET trójai olyan elektronikus levelekben terjed, amelyek egy Michael Jacksonról készült fényképet is tartalmaznak.
A Zapchast.ET trójai készítői úgy gondolták, hogy Michael Jackson egyik fényképével próbálnak a felhasználók bizalmában férkőzni. Ennek megfelelően a kártékony programjukat olyan spammelt üzenetekben helyezték el, amelyek a gyanútlan felhasználók számára meglehetősen megtévesztőek lehetnek.
A Zapchast.ET a Windows Temp könyvtárába számos új fájlt hoz létre, amelyek egyrészt a trójai saját kódjait tartalmazzák, másrészt a kártevő tevékenységének végrehajtását segítik elő. A trójai ugyanis elsősorban azzal a céllal terjed, hogy a fertőzött rendszereken egy hátsó kaput nyisson, amelyen keresztül a támadók különböző kártékony műveleteket végezhetnek.
Amikor a Zapchast.ET trójai elindul, akkor az alábbi műveleteket hajtja végre:
- Megjelenít egy fényképet Michael Jacksonról.
- Létrehozza a következő könyvtárat, és azt rejtett, illetve rendszer attribútumokkal látja el:
%Windows%\Temp\spoolsv - A könyvtárba bemásolja az alábbi állományokat:
SPOOLSV.EXE
XMAS.JPG
A.REG
RUN.BAT
ALIASES.INI
CONTROL.INI
MIRC.ICO
REMOTE.INI
SERVERS.INI
USERS.INI
IDENT.TXT
FULLNAME.TXT
COM.MRC
S.MRC - A %Windows%\Temp\spoolsv könyvtárban létrehozza a következő mappákat:
download
logs
sounds - A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
spoolsv = C:\Windows\temp\spoolsv\spoolsv.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\svchost\Parameters\
Application = C:\Windows\temp\spoolsv\spoolsv.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\svchost\Parameters\
AppDirectory = C:\Windows\temp\spoolsv\spoolsv.exe - Létrehoz egy Windowsos szolgáltatást, és módosítja a regisztrációs adatbázist:
HKEY_CURRENT_USER\Software\mIRC
HKEY_CURRENT_USER\Software\mIRC\Channels
HKEY_CURRENT_USER\Software\mIRC\License\@ = 5662-546732
HKEY_CURRENT_USER\Software\mIRC\LockOptions\@ = 0,4096
HKEY_CURRENT_USER\Software\mIRC\UserName\@ = WhiteHat - Nyit egy hátsó kaput a fertőzött rendszereken.
