A Wkysol trójai "B" betűjelű variánsának jellegzetessége, hogy a trójai egyéb változatainak segítségével kerülhet fel a számítógépekre. Vagyis a kártékony program képes arról gondoskodni, hogy egy rendszeren több variáns formájában is jelen legyen.
Az Isidor Biztonsági Központ jelentése kitér arra, hogy a Wkysol.B meglehetősen intenzíven hagyatkozik távoli szerverekkel való kommunikációra, aminek során egyrészt képes adatokat kiszivárogtatni, másrészt rendszeresen be tudja szerezni a legújabb frissítéseit, illetve a működéséhez szükséges adatokat. Annak érdekében, hogy leplezze a jelenlétét jól ismert szoftverekhez tartozó folyamatokat fertőz meg. Így az Internet Explorer, a Firefox és a Microsoft Outlook mögé is képes elrejtőzni.
A Wkysol.B célja, hogy egy olyan hátsó kaput nyisson a fertőzött PC-ken, amelyen keresztül a támadók többek között az alábbi tevékenységeket kezdeményezhetik:
- alkalmazások indítása
- fájlok törlése
- parancssori ablak használata
- folyamatok indítása és leállítása
- a számítógép újraindítása.
Amikor a Wkysol.B trójai elindul, akkor az alábbi műveleteket hajtja végre:
1.Interneten keresztül csatlakozik egy előre meghatározott távoli szerverhez.
2. A kiszolgálóról különböző állományokat tölt le, melyeket a következők szerint ment le:
%TEMP%/gfaxm.dat
%TEMP%/pfaxm.dat
%TEMP%/tgfaxm.dat
%TEMP%/tpfaxm.dat
3. Megfertőzi az Internet Explorerhez valamint a Firefox böngészőhöz tartozó folyamatokat.
4. Amennyiben a számítógépen fut a Microsoft Outlook alkalmazás, akkor megfertőzi az ahhoz tartozó folyamatot.
5. Nyit egy hátsó kaput, és várakozik a támadók parancsaira.
6. Rendszeres időközönként megpróbálja a saját fájljait frissíteni.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.