A Gatak trójai alapjában véve egy meglehetősen egyszerű felépítésű és működésű kártékony program. A hagyományos, hátsó kapuk létesítésére alkalmas trójai programok közé tartozik, amelyek a fertőzött számítógépeket tudják kiszolgáltatottá tenni az internetes támadásokkal szemben.
A Gatak legfontosabb tulajdonsága, hogy vagy a Skype vagy a Google Talk alkalmazások nevének felhasználásával terjed. Amikor egy számítógépre felkerül, akkor ezen szoftverek, illetve szolgáltatások nevével hoz létre különböző könyvtárakat, amelyekbe bemásolja a saját állományait. Emellett pedig megfertőzi a Windows egyik rendszerfolyamatát, ami mögül végzi a kártékony tevékenységét.
Az Isidor Biztonsági Központ szerint a Gatak célja, hogy egy hátsó kaput nyisson a 80-as porton keresztül, és különböző tevékenységek elvégzését segítse elő a terjesztői számára.
Amikor a Gatak trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományt:
%UserProfile%/Application Data/Google Talk/googletalk.exe
%UserProfile%/Application Data/Skype/Phone/Skype.exe
2. Létrehozza az alábbi fájlt:
%UserProfile%/Application Data/Microsoft/[véletlenszerű karakterek]/[véletlenszerű karakterek]
3. A regisztrációs adatbázishoz hozzáadja a következő bejegyzéseket:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run/"googletalk" = "%UserProfile%/Application Data/Google Talk/googletalk.exe /autostart"
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run/"Skype" = "%UserProfile%/Application Data/Skype/Phone/Skype.exe/" /nosplash /minimized""
4. Megfertőzi az explorer.exe folyamatot.
5. A 80-as TCP porton keresztül csatlakozik egy távoli szerverhez.
6. Nyit egy hátsó kaput, és várakozik a támadók parancsaira.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.