A Starimp.AX trójai bizalmas adatok kiszivárogtatásával és a nehezen helyreállítható módosításaival okozhatja a legtöbb kárt, illetve kellemetlenséget.

A Starimp.AX trójai egy windowsos szolgáltatást hoz létre, minek eredményeként az operációs rendszer minden egyes betöltődésekor el tud indulni. A kártevő arra is képes, hogy a már meglévő szolgáltatásokhoz tartozó állományokat fertőzzön meg, és ezzel ártalmatlannak látszó windowsos összetevők mögé rejtőzzön el. A trójai a Windows tűzfalát is képes megkerülni, amelyet az operációs rendszer egyik rendszerállományának felhasználásával tesz meg. Ezt követően pedig bizalmas adatokat igyekszik összegyűjteni, amelyeket egy előre meghatározott szerverre tölt fel. A kártevő az internetezés során elmentett felhasználónevek és jelszavak után kíváncsiskodik, és elsősorban kártékony weboldalakról kerül rá a kiszemelt számítógépekre, amelyekre számos további kártékony programot is képes letölteni.

Vírushíradó - Nehezen irtható a Starimp trójai

Amikor a Starimp.AX trójai elindul, akkor az alábbi műveleteket hatja végre:

  1. A regisztrációs adatbázisban létrehozza a következő kulcsokat
    HKLM\System\CurrentControlSet\Control\MPRServices\TestService
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gzipmod
    Ezekhez hozzáilleszti az alábbi értékeket:
    DllName = “gzipmod.dll”
    Startup = “gzipmod”
    Impersonate = dword:00000001
    Asynchronous = dword:00000001
    MaxWait = dword:00000001
    adrn = “[véletlenszerű számok]”
  2. Létrehozza a következő fájlokat:
    %System%gzipmod.dll
    %System%vbagz.sys
  3. Letörli az alábbi állományt:
    %Documents and Settings%All UsersStart MenuProgramsStartup ewrnj.exe
  4. Létrehoz egy “VBA PnP Driver” nevű szolgáltatást.
  5. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzéseket:
    HKLMSYSTEMCurrentControlSetServicesvbagz
    HKLMSYSTEMCurrentControlSetControlSafeBootMinimalvbagz.sys
    HKLMSYSTEMCurrentControlSetControlSafeBootNetworkvbagz.sys
  6. A vbagz.sys állomány révén különféle windowsos szolgáltatásokhoz tartozó drivereket próbál megfertőzni.
  7. Az internetezés során keletkező átmeneti állományok, és az elmentett felhasználónevek és jelszavak összegyűjtése után a bizalmas adatokat egy előre meghatározott távoli szerverre tölti fel.
  8. Interneten keresztül különböző állományokat tölt le, és ment el a Windows System32 könyvtárába.
  9. A rundll32.exe állomány felhasználása révén megpróbálja megkerülni a Windows beépített tűzfalát. A regisztrációs adatbázisban pedig módosítja az alábbi bejegyzést:
    HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
    StandardProfile\AuthorizedApplications\List\%System%\
    undll32.exe = “%System% undll32.exe:*:Enabled:rundll32”
  10. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson.