Az Arugizer.A trójai legtöbbször az Energizer DUO akkumulátortöltőhöz készült szoftverbe férkőzik be, és ennek révén terjed. Amikor rákerül egy számítógépre, akkor bemásolja magát a Windows egyik rendszerkönyvtárába, majd gondoskodik arról, hogy az operációs rendszer minden egyes betöltődésekor el tudjon indulni. Ezt követően a regisztrációs adatbázis egyszerű módosításával eléri, hogy a Windows beépített tűzfala ne jelentsen számára akadályt a további ténykedése során.
Az Isidor Biztonsági Központ jelentéséből kiderül, hogy az Arugizer.A trójai egy olyan hátsó kaput létesít, amelyen keresztül a támadók többek között az alábbi műveleteket végezhetik el:
- fájlok létrehozása
- állományok törlése
- fájlok letöltése és futtatása
- regisztrációs adatbázis módosítása
- rendszerinformációk kinyerése.
Amikor az Arugizer.A trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományt:
%System%\Arucer.dll
2. A regisztrációs adatbázishoz hozzáfűzi a következő értéket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Arucer = "rundll32 %System%\Arucer.dll,Arucer""
3. A regisztrációs adatbázisban létrehozza az alábbi bejegyzést:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\%System%\rundll32.exe = "%System%\rundll32.exe:*:Enabled:Run a DLL as an App"
4. Nyit egy hátsó kaput a 7777-es TCP porton keresztül.
5. Várakozik a támadók parancsaira.
6. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a fertőzött számítógépen.
7. Leellenőrzi az elérhető USB-s eszközöket.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.