Az Scrshotvid trójai teljesen ártalmatlan programok mögé rejtőzik el. Legtöbbször egy "imagem.exe" fájl formájában terjed elsősorban cserélhető meghajtókon valamint hálózati megosztásokon keresztül. Amennyiben a felhasználó megnyitja ezt az állományt, akkor a trójai azonnal felkerül a PC-re, amelyen néhány módosítást végez azelőtt, hogy elkezdené kiszolgálni a terjesztőit. A Windows egyik rendszerkönyvtárába msnmsg.exe néven másolja be saját magát, majd a regisztrációs adatbázis módosításával gondoskodik arról, hogy az operációs rendszer minden egyes betöltődésekor automatikusan el tudjon indulni.
Az Isidor Biztonsági Központ szerint az Scrshotvid trójai legnagyobb veszélye, hogy egy hátsó kaput nyit a fertőzött rendszereken, amelyen keresztül a támadók többek között az alábbi tevékenységekre vehetik rá a kártékony programjukat:
- billentyűleütések naplózása
- képernyőképek készítése és elmentése
- webkamerák képeinek lementése
- FTP szerver beállítás
- fájlok letöltése és futtatása
- a féreg frissítése.
Amikor az Scrshotvid trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományt:
%System%\msnmsg.exe
2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Msnmsg" = "%System%\msnmsg.exe"
3. Nyit egy hátsó kaput, és várakozik a támadók parancsaira.
4. Interneten keresztül kapcsolódik egy előre meghatározott távoli szerverhez.
5. A cserélhető és a hálózati meghajtók gyökérkönyvtárába létrehozza a következő fájlokat:
%meghajtó betűjele%\imagem.exe
%meghajtó betűjele%\autorun.inf
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.