Vírushíradó – Windowsszal bűvészkedik a Mournor trójai
A Mournor trójai a Windows egyes rendszerállományaival “bűvészkedik”, és okoz károkat.
A Mournor trójai elsősorban a Windows szerves részét képező explorer.exe állományt próbálja saját céljaira felhasználni. Ezt a rendszerfájlt megfertőzi, és gondoskodik arról, hogy az operációs rendszer minden egyes újraindulásakor automatikusan be tudjon töltődni. Ennek érdekében nem a regisztrációs adatbázist módosítja, hanem a rendszermeghajtó gyökér könyvtárába egy autorun.inf nevű állományt helyez el. A Mournor trójaival fertőzött számítógépeken való vírusírtást a Windows rendszerhelyreállító funkciója ez esetben nem tudja elősegíteni, ugyanis a trójai egy egyszerű fájltörléssel eléri azt, hogy egy esetleges helyreállítás során se tudjon visszakerülni a rendszerre az eredeti explorer.exe fájl. A Mournor Interneten keresztül további kártékony programok letöltésére is alkalmas.
Amikor a Mournor trójai elindul, akkor az alábbi műveleteket hajtja végre:
- Létrehozza a következő fájlokat:
%System%explorer.exe
%Windir%explorer.exe[15 véletlenszerű karakter]
%System%SERVICES.EXE
%System%SYSANALYSIS.EXE
%SystemDrive%Mourn_Operator.exe - A rendszermegható gyökér könyvtárába bemásolja az alábbi fájlt.
%SystemDrive%AUTORUN.INF
Ezzel képes automatikusan elindítani a Mourn_Operator.exe fájlt. - Létrehozza a következő, ártalmatlan állományt:
%UserProfile%Local SettingsTemp - Letörli a következő fájlt
%System%dllcacheexplorer.exe
Ezzel a Windows Intézőjéhez tartozó állomány a rendszerhelyreállító funkció révén sem válik visszanyerhetővé. - Módosítja az alábbi állományt:
%Windir%explorer.exe - A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzést:
HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\Run - Módosítja a regisztrációs adatbázis következő kulcsait:
HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL
HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\HideFileExt
