Vírushíradó – Michael Jackson fényképe mögé rejtőzik a Zapchast trójai

A Zapchast.ET trójai olyan elektronikus levelekben terjed, amelyek egy Michael Jacksonról készült fényképet is tartalmaznak.

A Zapchast.ET trójai készítői úgy gondolták, hogy Michael Jackson egyik fényképével próbálnak a felhasználók bizalmában férkőzni. Ennek megfelelően a kártékony programjukat olyan spammelt üzenetekben helyezték el, amelyek a gyanútlan felhasználók számára meglehetősen megtévesztőek lehetnek.

A Zapchast.ET a Windows Temp könyvtárába számos új fájlt hoz létre, amelyek egyrészt a trójai saját kódjait tartalmazzák, másrészt a kártevő tevékenységének végrehajtását segítik elő. A trójai ugyanis elsősorban azzal a céllal terjed, hogy a fertőzött rendszereken egy hátsó kaput nyisson, amelyen keresztül a támadók különböző kártékony műveleteket végezhetnek.

Amikor a Zapchast.ET trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Megjelenít egy fényképet Michael Jacksonról.
2. Létrehozza a következő könyvtárat, és azt rejtett, illetve rendszer attribútumokkal látja el:
   %Windows%\Temp\spoolsv
3. A könyvtárba bemásolja az alábbi állományokat:
   SPOOLSV.EXE
   XMAS.JPG
   A.REG
   RUN.BAT
   ALIASES.INI
   CONTROL.INI
   MIRC.ICO
   REMOTE.INI
   SERVERS.INI
   USERS.INI
   IDENT.TXT
   FULLNAME.TXT
   COM.MRC
   S.MRC
4. A %Windows%\Temp\spoolsv könyvtárban létrehozza a következő mappákat:
   download
   logs
   sounds
5. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzéseket:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
   spoolsv = C:\Windows\temp\spoolsv\spoolsv.exe
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\svchost\Parameters\
   Application = C:\Windows\temp\spoolsv\spoolsv.exe
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\svchost\Parameters\
   AppDirectory = C:\Windows\temp\spoolsv\spoolsv.exe
6. Létrehoz egy Windowsos szolgáltatást, és módosítja a regisztrációs adatbázist:
   HKEY_CURRENT_USER\Software\mIRC
   HKEY_CURRENT_USER\Software\mIRC\Channels
   HKEY_CURRENT_USER\Software\mIRC\License\@ = 5662-546732
   HKEY_CURRENT_USER\Software\mIRC\LockOptions\@ = 0,4096
   HKEY_CURRENT_USER\Software\mIRC\UserName\@ = WhiteHat
7. Nyit egy hátsó kaput a fertőzött rendszereken.