Firefox felhasználók adatait lopkodja a Bafi trójai

A Bafi.A trójai az adatlopásra felkészített kártékony programok közé tartozik. Ennek megfelelően a legfontosabb feladata, hogy minél több bizalmas információt gyűjtsön össze a fertőzött számítógépekről. A trójai első variánsa leginkább a banki weboldalakon megadott adatok valamint az azokon elvégzett tevékenységek iránt érdeklődik, miközben internetes banki szolgáltatásokhoz tartozó felhasználónevek és jelszavak megszerzésére is alkalmas.

Az Isidor Biztonsági Központ jelentése szerint a Bafi.A akkor aktivizálódik, amikor a felhasználó a Firefox böngésző segítségével egy olyan weboldalt tölt le, amely a trójai készítői által előre meghatározott kifejezéseket is tartalmazza. Így például, ha egy weblapon szerepel a "bank" szó, akkor a kártékony program bekapcsolja a billentyűzetfigyelő összetevőjét. Emellett az egérrel végzett műveleteket is naplózza, majd az összegyűjtött információkat feltölti egy szerverre.

Amikor a Bafi.A trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő állományokat:
c:/chrome.manifest
c:/install.rdf
%windir%/AcroFF00.dll
%windir%/AcroFF05.dll
%windir%/AcroFF06.dll
%windir%/AcroFF07.dll
%windir%/AcroFF08.dll

2. A regisztrációs adatbázisban módosítja az alábbi értéket:
HKCU/Software/Mozilla/Firefox/extensions/{184AA5E6-741D-464a-820E-94B3ABC2F3B4}="c:"

3. A regisztrációs adatbázisban megváltoztatja a következő bejegyzést:
HKLM/SOFTWARE/Mozilla/Firefox/extensions/{184AA5E6-741D-464a-820E-94B3ABC2F3B4}="c:"

4. Folyamatosan figyelemmel kíséri a felhasználó Firefox böngészővel végzett tevékenységét.

5. Amennyiben a felhasználó egy olyan weboldalt tölt le, amely tartalmazza az alábbi kifejezéseket, akkor aktivizálódik:
bank
deu
feducia.de

6. Megpróbálja összegyűjteni a bejelentkezési adatokat.

7. Folyamatosan naplózza a billentyűleütéseket, és az egérrel végzett műveleteket.

8. Az összegyűjtött adatokat egy .dat kiterjesztésű fájlba menti le, amelyet rendszeres időközönként feltölt egy távoli szerverre.