WinSpy trójai: a kémkedés mestere

A WinSpy.J trójai révén a támadók szinte bármit megtudhatnak a fertőzött számítógépeken végzett műveletekről.

A WinSpy.J trójai elsődleges célja a kémkedés. Amint rákerül egy számítógépre, akkor arra az Internetről további kártékony fájlokat tölt le, majd rendszeresen ellenőrzi, hogy a saját állományaiból létezik-e újabb változat, vagyis automatikusan frissíti magát.

A trójaiban rejlő lehetőségek kihasználásával a támadók képernyőképeket menthetnek le a böngészőkről, valamint elindíthatják az Internet Explorert vagy a Mozilla Firefoxot. Amennyiben a fertőzött PC-hez működőképes webkamera is csatlakozik, akkor akár videófelvételeket is készíthetnek. A kártevő az összegyűjtött adatokat, képeket, videókat stb. elektronikus levelekben továbbítja a támadók számára.

Amikor a WinSpy.J trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Interneten keresztül letölt egy newver.txt nevű állományt, ezt követően egy további kártékony állományt szerez be. A letöltött fájlt a Windows könyvtárába msn64.exe néven menti el.
2. Rendszeresen ellenőrzi az Interneten keresztül, hogy a saját állományiból érhető-e el újabb verzió.
3. A regisztrációs adatbázisban létrehozza a következő bejegyzést:
   HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunPANO = “%Windows%msn64.exe”

Ezzel eléri, hogy a Windows minden egyes újraindulásakor automatikusan be tudjon töltődni.