Az Alureon.DC trójai a Windows Temp könyvtárába fészkeli be magát. Ezt követően csatlakozik előre meghatározott távoli szerverekhez, amelyekről további kártékony programokat tölt le. Ezek között megtalálható egy FakeCog trójai is, amely tulajdonképpen egy Antimalware nevű, hamis víruskereső alkalmazást takar. Az Antimalware a fertőzött rendszereken minden alapot nélkülöző riasztásokkal bosszantja a felhasználókat.
Az Isidor Biztonsági Központ beszámolója szerint az Alureon.DC a következőképpen képes segíteni a terjesztőit a különféle ártalmas tevékenységeik végrehajtásában:
- webes keresők által megjelenített találati lista manipulálása
- weboldalak átirányítása
- tetszőleges fájlok letöltése és futtatása
- reklámok megjelenítése
- kártékony programok telepítése
- kattintásokra épülő, online fizetési rendszerek manipulálása
- DNS-beállítások módosítása.
Amikor az Alureon.DC trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. A regisztrációs adatbázishoz hozzáfűzi a következő értékeket:
HKLM\SOFTWARE\Mozilla\affid=<affid>
HKLM\SOFTWARE\Mozilla\subid=<subid>
2. A regisztrációs adatbázisban létrehozza az alábbi bejegyzéseket:
HKLM\SOFTWARE\Mozilla\affid=216
HKLM\SOFTWARE\Mozilla\subid=new
3. Bemásolja a saját állományait a Windows Temp könyvtárába.
4. A számítógép újraindulásakor letörli az eredeti fájljait.
5. Interneten keresztül távoli szerverekhez kapcsolódik, amelyekről fájlokat tölt le.
6. A letöltött állományokat elmenti a Windows Temp könyvtárába véletlenszerűen generált fájlnevek felhasználásával.
7. A letöltött fájlok között egy olyan állomány is megtalálható, amely a FakeCog trójait tartalmazza. Ezt a kártékony programot feltelepíti a számítógépre.
8. Lehetőséget biztosít a támadók számára, hogy további kártékony műveleteket hajtsanak végre.
9. Egyes esetekben megváltoztatja a számítógép DNS-beállításait.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.