A Shiz trójai készítői bizalmas információkra éhesen engedték útjára a szerzeményüket, amely az adatlopással kapcsolatos feladatait maradéktalanul el is tudja látni. Ezért meglehetősen komoly veszélyt jelent azokra az adatokra, amelyek az általa megfertőzött rendszereken kapnak helyet.
Az Isidor Biztonsági Központ tájékoztatója szerint a Shiz a zavartalan működése érdekében megpróbál különböző folyamatokat blokkolni, és a fertőzött PC-kről elérhetetlenné teszi egyes biztonsági cégek weboldalait. Ezt követően megfertőzi a futó folyamatokat, és nekilát az adatgyűjtésnek. Ennek során folyamatosan kémleli a billentyűleütéseket, a vágólap valamint a memória tartalmát. Elsősorban felhasználónevek, jelszavak és különféle banki adatok keltik fel az érdeklődését.
A Shiz az általa összegyűjtött adatokat interneten keresztül szivárogtatja ki a terjesztői számára.
Amikor a Shiz trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%Windir%/AppPatch/[véletlenszerű fájlnév]
2. A regisztrációs adatbázisban módosítja az alábbi bejegyzést:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/"Userinit" =
"%System%/userinit.exe, %Windir%/AppPatch/[véletlenszerű fájlnév]"
3. A regisztrációs adatbázishoz hozzáfűzi a következő értéket:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/"[véletlenszerű karakterek]" = "%Windir%/AppPatch/[véletlenszerű fájlnév]"
4. A regisztrációs adatbázishoz hozzáadja az alábbi kulcsot:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/[véletlenszerű karakterek]
5. Leellenőrzi, hogy léteznek-e az alábbi folyamatok:
ollydbg
wireshark
idaq
dumpcap
vmwaretray
6. Fájlok, felhasználónevek és egyéb paraméterek alapján megpróbálja megállapítani, hogy hagyományos, virtuális vagy tesztrendszeren fut-e?
7. Blokkolja azon weboldalak elérését, amelyek címében szerepelnek a következő kifejezések:
avast.com
kaspersky
drweb
eset.com
antivir
avira
virustotal
virusinfo
z-oleg.com
kltest.org.ru
trendsecure
anti-malware
comodo.com
8. Annak érdekében, hogy bizalmas adatokat tudjon összegyűjteni, megpróbálja megfertőzni az összes futó folyamatot.
9. Megpróbál bizalmas banki adatokat megszerezni.
10. Folyamatosan kémleli a billentyűleütéseket, a vágólapot és a memória tartalmát.
11. Csatlakozik egy távoli szerverhez, amelyről parancsokat fogad.
12. Az összegyűjtött adatokat kiszivárogtatja a terjesztői számára.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.