A Comrerop trójai a számítógépeken való károkozáshoz egy másik kártékony programot hív segítségül. Vagyis valójában nem a Comrerop jelenti az igazi veszélyt, hanem az a Bancos nevű számítógépes károkozó, amelyet feltelepít a számítógépekre. A Bancos egy régóta ismert trójai, amely kifejezetten banki adatok eltulajdonítására specializálódott. Ennek megfelelően internetes banki szolgáltatásokhoz tartozó hitelesítő adatokat próbál megszerezni, majd kiszivárogtatni a terjesztői számára.
Az Isidor Biztonsági Központ jelentése szerint a Comrerop mindössze egy mappát hoz létre a Windows könyvtárán belül, amelyekbe egy csrss.exe állományt másol be. Ezáltal egy Windows-os rendszerfájlnak, illetve rendszerfolyamatnak próbálja álcázni magát, miközben a háttérben elvégzi a számára kijelölt feladatokat. Egyszer újraindítja a számítógépet, majd interneten keresztül letölti a Bancos trójai terjesztéséhez szükséges fájlt, amelyet el is indít.
Amikor a Comrerop trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományokat:
%Windir%/Media/csrss.exe
%Windir%/Media/Rest
2. A regisztrációs adatbázishoz hozzáadja az alábbi bejegyzést:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run/"bootstat" = "%Windir%/Media/csrss.exe"
3. A regisztrációs adatbázist kiegészíti a következő értékkel:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session Manager/"BootExecute" = "autocheck autochk *"
4. Újraindítja a számítógépet.
5. Interneten keresztül letölt egy fájlt, és azt az alábbiak szerint menti le:
%Windir%/Media/bootstat.exe
6. Egy adatlopásra alkalmas Bancos trójait telepít fel a számítógépekre.
1 hozzászólás
Született már megoldás az eltüntetésére?