A Pihar trójai - amely számos jellemzőjét tekintve hasonlóságot mutat a Tidserv trójaival - kezdetben mindössze egy véletlenszerű névvel ellátott fájlt hoz létre a Windows átmeneti fájlok tárolását szolgáló könyvtárába. Ez azonban elég számára ahhoz, hogy olyan műveleteket hajtson végre a fertőzött számítógépeken, amelyek révén alkalmassá válik a tényleges feladatainak ellátására. Az előkészítő tevékenysége során többek között manipulálja az Internet Explorer beállításait valamint a böngésző egyes biztonsági paramétereit.
Az Isidor Biztonsági Központ közleménye rávilágít arra, hogy a trójai alapvető feladata, hogy a rendszerekre további ártalmas kódokat jutasson fel. Emellett pedig egy hátsó kaput nyit a számítógépeken, amelyen keresztül különféle parancsok fogadására válik alkalmassá.
A Pihar fontos tulajdonsága, hogy képes az MBR (Master Boot Record) megfertőzésére, vagyis adott esetben akár az operációs rendszer betöltődése előtt be tud kerülni a memóriába.
Amikor a Pihar trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza az alábbi állományokat:
%SystemDrive%/Documents and Settings/Administrator/Local Settings/Temp/[véletlenszerű karakterek].tmp
%Windir%/Temp/[véletlenszerű karakterek].tmp
2. A regisztrációs adatbázisban módosítja a következő értékeket:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Internet Settings/GlobalUserOffline
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Internet Settings/CertificateRevocation
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Internet Settings/WarnonBadCertRecving
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Internet Settings/WarnOnPost
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Internet Settings/WarnOnPostRedirect
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Internet Settings/WarnonZoneCrossing
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Internet Settings/EnableHttp1_1
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Internet Settings/MaxHttpRedirects
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/SecuritySafe
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/International/"AcceptLanguage" = "en-US"
3. A regisztrációs adatbázishoz hozzáfűzi a következő értéket:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Enum/Root/LEGACY_[véletlenszerű karakterek]
4. Megfertőzi az MBR-t (Master Boot Record), amivel eléri, hogy a Windows elindulása előtt be tud töltődni a memóriába.
5. Interneten keresztül további kártékony kódokat tölt le.
6. Nyit egy hátsó kaput, és várakozik a támadók parancsaira.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.