A Blacole.O trójai alapvető célja, hogy egy biztonsági résen keresztül ártalmas kódok terjesztéséből vegye ki a részét. Ennek érdekében az Adobe Flash Player egyik sérülékenységét használja ki ahhoz, hogy interneten keresztül különféle kódokat töltsön le. Az így beszerzett kártékony programokat el is indítja, ezáltal további nemkívánatos programokkal fertőzi meg a PC-ket.
Az Isidor Biztonsági Központ jelentése kitér arra, hogy a Blacole trójainak nemcsak az a feladata, hogy az elavult verziójú Flash Player szoftverek sebezhetőségét vírusterjesztésre használja fel, hanem rendszeres időközönként webes átirányításokat is végrehajt. Ezek révén eléri, hogy a felhasználót ártalmas weboldalakra vezesse.
A Blacole.O elleni védekezés során a naprakészen tartott víruskeresők mellett fontos az Adobe Flash Player frissítésére is figyelmet fordítani.
Amikor a Blacole.O trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza az alábbi állományokat:
%TEMP%field.swf
%TEMP%score.swf
2. Egyes esetekben webes átirányításokat hajt végre különböző weboldalakra.
3. Interneten keresztül különféle programokat tölt le, amelyeket el is indít.
4. Megvizsgálja, hogy a fertőzött rendszeren az Adobe Flash Player hányas verziója fut. Amennyiben az alábbi verziók valamelyikét találja, akkor lefuttat egy kártékony kódot:
10.0.0 - 10.0.39
10.1
10.2.0 - 10.2.158
5. Megpróbálja kihasználni a Flash Player egyik (CVE-2011-2110) sebezhetőségét.
6. Az egyik, internetről letöltött fájlt elmenti wpbt0.dll néven, majd lefuttatja a következő parancsot:
regsvr32 -s wpbt0.dll
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.