Válassza az Oldal lehetőséget

Windows frissítésnek álcázott vírus

Windows frissítésnek álcázott vírus

A Bayrob trójai a Windows frissítő szolgáltatásának álcázza magát, és így próbál meg bizalmas adatokat megszerezni, illetve egy hátsó kaput nyitni a fertőzött számítógépeken.

A Bayrob trójai a legtöbb esetben a Windows automatikus frissítő szolgáltatásaként próbálja álcázni saját magát. Ennek megfelelően létrehoz egy Windows Update szolgáltatást, majd nyit egy hátsó kaput a 81-as TCP porton. Ezen keresztül kiszolgáltatottá teszi a fertőzött PC-ket, és egy proxy szervert is telepít azokra.

A trójai folyamatosan figyeli a felhasználó által meglátogatott weboldalakat, és az eBay weboldalainak megnyitásakor aktivizálódik.

Amikor a Bayrob trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%System%\windowsupdate.exe
%System%\4033ccf\cfg

2. A regisztrációs adatbázisban létrehozza az alábbi bejegyzést:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentV ersion\Run”Windows Update” = “C:\WINDOWS\system32\WindowsUpdate.exe”

3. Létrehoz egy “Windows Update” nevű szolgáltatást.

4. A regisztrációs adatbázisban létrehozza az alábbi bejegyzést:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W indows Update

5. A regisztrációs adatbázisban módosítja az alábbi bejegyzéseket:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVe rsion\Internet Settings”ProxyEnable” = “0”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Internet Settings\ZoneMap”IntranetName” = “01000000”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Internet Settings\ZoneMap”UNCAsIntranet” = “01000000”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Internet Settings\ZoneMap”ProxyBypass” = “01000000”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVe rsion\Internet Settings\Connections

6. Létrehozza a következő fájlt:
Data\Mozilla\Firefox\Profiles\[aktuális profil]\user.js

7. Nyit egy hátsó kaput a 80-as TCP porton keresztül, és létrehoz egy proxy-t.

8. Figyeli, hogy a felhasználó mikor látogatja meg az eBay weboldalait.

9. Távoli szerverekhez kapcsolódik.

A szerzőről