A Sykipot trójai elsősorban kártékony weboldalakról kerül rá a számítógépekre. Annak érdekében, hogy ez minél nagyobb valószínűséggel történhessen meg, egy JavaScript kódot is alkalmaznak a terjesztői, amely a trójai letöltődését segíti elő. Amikor a kártékony program rákerül egy PC-re, akkor a Windows Temp könyvtárába másolja be a saját állományait, amelyek között exe és dll kiterjesztésű fájlok is megtalálhatók. Ezt követően a kártevő arról is gondoskodik, hogy a Windows minden egyes újraindítását követően automatikusan be tudjon töltődni.
Az Isidor Biztonsági Központ közleménye szerint a Sykipot legnagyobb veszélye, hogy egy hátsó kaput létesít a fertőzött rendszereken, amelyen keresztül a támadók többek között az alábbi műveleteket hajthatják végre:
- folyamatok leállítása
- fájlok Interneten keresztül való letöltése
- fájlok feltöltése távoli szerverekre.
A trójai tehát adatok kiszivárgásához is hozzájárulhat.
Amikor a Sykipot trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományokat:
%Temp%\notes.exe
%Temp%\rsvm.exe
%Temp%\wshipnotes.dll
%Temp%\clipsvc.exe
%Temp%\wshipl.dll
2. A regisztrációs adatbázishoz hozzáfűzi az alábbi bejegyzést:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"notes" = "c:\documents and settings\administrator\local settings\temp\notes.exe -installkys"
Ezzel eléri, hogy a Windows minden egyes betöltődésekor automatikusan el tudjon indulni.
3. Nyit egy hátsó kaput.
4. Csatlakozik egy előre meghatározott távoli szerverhez.
5. Várakozik a támadók parancsaira.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.