A Bredolab a letöltést végző trójai programok közé tartozik. Önmagában nem okoz különösebben nagy kárt a kiszemelt rendszereken, hiszen mindössze két állományt hoz létre, amelyeket ráadásul egy idő után saját maga le is töröl. Mielőtt azonban ezt megtenné különböző, windowsos rendszerfolyamatokat fertőz meg, amelyek mögé elrejtőzik, és igyekszik ellátni a legfontosabb feladatát. Ez pedig nem más, mint hogy egy előre meghatározott weboldalról egy kártékony fájlt töltsön le.
Az Interneten keresztül letöltött állományt a készítői titkosítással látták el. A trójai azonban képes elvégezni a dekódolást, majd el is indítja a kártékony fájlt. A Bredolab jelenlegi variánsa egy orosz weboldalról szerzi be az állományt, de a későbbiekben esetlegesen megjelenő, új változatai esetében ez természetesen változhat.
Amikor a Bredolab trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományt:
%System%\wbem\grpconv.exe
2. Létrehozza az alábbi fájlt:
%UserProfile%\Application Data\wiaserva.log
3. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzést:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\"RunGrpConv" = "1"
4. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a fertőzött rendszeren.
5. Megfertőzi az explorer.exe és az svchost.exe folyamatokat.
6. Letörli az eredeti állományait.
7. Interneten keresztül, egy előre meghatározott weboldalról letölt egy fájlt.
8. A letöltött állomány titkosított, amelyet a trójai dekódol, majd elindít.
3 hozzászólás
Volt szerencsem bekapni egyet. Mar tobb mint 1 hete kuzdok vele: ESET naponta fut es naponta torli a fertozest, de ez mit sem segit. Masnap ismet ott van. Van jo/jobb megoldas?
ESETleg ez IS kell: http://www.superantispyware.com/
Próbáld meg a MBAM-ot, ha az sem segít esetleg a Dr. Web CureIt! (persze csökkentett módban), a végső pedig a ComboFix....... ESET? hol élsz? és miért fertőzöd meg a rendszered? hogy utána kínlódhass?