A Bankpatch.C trójai legfontosabb célja, hogy kifürkéssze a fertőzött számítógép felhasználójának internetezési szokásait. Ennek érdekében folyamatosan naplózza a letöltött weboldalak címeit, amelyekből egy listát készít. Az összegyűjtött adatokat egy előre meghatározott távoli szerverre tölti fel.
A Bankpatch.C a Windows egyik rendszerkönyvtárában számos fájlt hoz létre, illetve ír felül. A trójai minden egyes megfertőzött állományból egy biztonsági mentést készít, amelyek megkönnyíthetik a kártékony program által okozott károk helyreállítását.
A Bankpatch.C a fertőzését követő 24. órában automatikusan újraindítja a rendszereket.
Amikor a Bankpatch.C trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza, illetve felülírja a következő fájlokat:
%Temp%\conlf.ini
%System%\kernel32.dll
%System%\powrprof.dll
%System%\wininet.dll
%System%\dllcache\kernel32.dll
%System%\dllcache\powrprof.dll
%System%\dllcache\wininet.dll
Az eredeti állományokat a következők szerint menti el:
%System%\kerndp.ini
%System%\korlg.ini
%System%\ppdnp.ini
%System%\pporgl.ini
%System%\windmlp.ini
%System%\worlg.ini
2. A Windows System könyvtárába bemásolja az alábbi fájlokat:
%System%\ldshyr.old
%System%\nwklr.ini
%System%\nwpp.ini
%System%\nwwlnt.ini
3. A regisztrációs adatbázisban létrehozza az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\"lwh" = "[http://]ffcsanta.com"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\rbt
4. A fertőzést követő 24. órában újraindítja a számítógépet.
5. A felhasználó által megadott URL-eket naplózza, és elküldi egy előre meghatározott szerverre.
6. A fertőzött számítógépekről elérhetetlenné tesz egyes weboldalakat.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.