Erőforrásaik feltérképezésében segíti a támadókat a Sarhus trójai

A Sarhus trójai készítőinek minden bizonnyal arra volt szükségük, hogy a kártékony programjuk által megfertőzött számítógépekről minél több rendszerinformációt tudjanak kinyerni, és azok alapján megállapítani, hogy milyen erőforrások állhatnak a rendelkezésükre. A trójai alapvetően a számítógép nevét, egyes hardverkomponensek típusát, a felhasználóneveket valamint a Windows néhány paraméterét gyűjti össze. Amennyiben e feladatát elvégezte, akkor az eltárolt adatokat titkosítja, és feltölti egy előre meghatározott távoli szerverre.

Az Isidor Biztonsági Központ jelentése kitér arra, hogy a Sarhus interneten keresztül különféle állományokat is letölt. Ehhez több szerverhez próbál csatlakozni DynDNS (dyndns.org) címek alapján. Ezáltal a vírusterjesztők a kiszolgálóik IP-címét folyamatosan tudják változtatni, ami a felderítésüket megnehezítheti.

Amikor a Sarhus trójai, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
%Temp%/$MsAutoUpdate.exe
%Temp%/[a trójai fájlneve]
%Temp%/wmiprvse.ini

2. Létrehoz egy mutexet annak érdekben, hogy egyszerre csak egy példányban fusson.

3. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_CURRENT_USER/Software/Microsoft/"ServerID" = "[véletlenszerű karakterek]"

4. A regisztrációs adatbázisban módosítja a következő bejegyzést:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Connections/"DefaultConnectionSettings" = "[...]"

5. Rendszerinformációkat gyűjt össze:
- számítógép neve
- processzor típusa
- Windows verziója
- felhasználónév

6. Az összegyűjtött adatokat titkosítja, majd HTTP-kapcsolatokon keresztül kiszivárogtatja azokat.

7. Egy előre meghatározott távoli szerverről egy ártalmas fájlt tölt le. A károkozó több dyndns.org domain névre hivatkozik, így a támadók a szerverük IP-címét folyamatosan tudják módosítani.