A Pramro trójai legtöbbször a Sality víruscsalád egyes variánsainak közreműködésével kerül fel a rendszerekre. Amint elindul, akkor a Windows regisztrációs adatbázisának manipulálásával eléri, hogy a későbbi tevékenységét a Windows beépített tűzfala ne tudja megakadályozni. Erre azért van nagy szüksége, mert számos hálózati műveletet végez, és a legfontosabb feladatait interneten keresztül hajtja végre.
Az Isidor Biztonsági Központ szerint a Pramro szerepe kettős. Egyrészt egy proxy-vá alakítja a fertőzött számítógépeket, majd interneten keresztül fogadott utasítások alapján elektronikus levelezésbe kezd, aminek során képes kivenni a részét spamek terjesztéséből.
A Pramro fontos jellemzője, hogy a hálózati portok tekintetében nem mondható finnyásnak, és véletlenszerűen kiválasztott portokon keresztül képes kommunikálni távoli vezérlő szerverekkel.
Amikor a Pramro trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a fertőzött rendszeren.
2. A regisztrációs adatbázishoz hozzáadja a következő bejegyzést:
HKLM/SYSTEM/CurrentControlSet/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications/List/[a féreg fájlneve]="[a féreg fájlneve]:*:enabled:ipsec"
3. A 25-ös proton küldött hálózati csomagok révén leellenőrzi, hogy van-e megfelelő internet kapcsolat.
4. Interneten keresztül különböző fájlokat tölt le. Ezeket az állományokat a Windows Temp könyvtárába menti le az alábbiak szerint:
%Temp%/win[véletlenszerű karakterek].exe
5. HTTP-proxy szolgáltatásokat indít.
6. Véletlenszerűen kiválaszt egy hálózati portot (80-1080 között), majd megpróbál csatlakozni egy távoli szerverhez.
7. Nyit egy hátsó kaput. Ehhez portot az 1179-8178 közötti tartományból választ (kivétel a 6665-ös, a 6666-os és a 6667-es portokat).
8. Kéretlen elektronikus levelek küldéséből veszi ki a részét, valamint HTTP-adatforgalom továbbításában vesz részt.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.