A Protucs trójai legfontosabb jellegzetessége, hogy az Adobe Acrobat, Reader és Flash Player alkalmazásokban korábban felfedezett biztonsági réseket használja ki ahhoz, hogy a számítógépeket meg tudja fertőzni. Ez egyben azt is jelenti, hogy a trójai elleni védekezés egyik legfontosabb összetevőjét a szoftverfrissítések jelentik. Amennyiben ugyanis egy PC-n naprakész állapotban vannak az Adobe alkalmazásai, akkor a kártékony program nem képes károkozásra, illetve továbbterjedésre.
Az Isidor Biztonsági Központ jelentése kiemeli, hogy a Protucs alapvetően PDF vagy XLS állományok formájában kerül fel a számítógépekre, például elektronikus levelek mellékleteként, majd PDF-kezelési vagy Flash megjelenítési rendellenességeket fordít a saját javára. Amennyiben ez sikerül számára, akkor rendszerinformációkat szivárogtat ki, és egy hátsó kaput nyit, amelyen keresztül a következő tevékenységek elvégzésére vehető rá:
- fájlok letöltése
- programok telepítése és frissítése
- proxy szerverként való használat
- adatlopás.
Amikor a Protucs trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományokat:
%System%/wuausrv.dll
%System%/hongzquit.dat
2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_LOCAL_MACHINE/system/CurrentControlSet/Services/wuauserv
3. Nyit egy hátsó kaput, és várakozik a támadók parancsaira.
4. Rendszerinformációkat szivárogtat ki.
5. Előre meghatározott weboldalakhoz csatlakozik, amelyekről adott esetben további kártékony programok kerülhetnek fel a számítógépre.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.